Passwort zurücksetzen im Zusammenhang mit Support

Mitglied: thaefliger

thaefliger (Level 2) - Jetzt verbinden

14.12.2015, aktualisiert 17:47 Uhr, 1790 Aufrufe, 17 Kommentare, 2 Danke

Hallo zusammen

Wir möchten gerne unsere Passwort-Politik umstellen und stolpern dabei über ein paar organisatorische Knacknüsse.
Da würde mich interessieren, was ihr dazu denkt oder wie ihr das handhabt.

Situation:
Wir müssen uns hin und wieder zu Supportzwecken mit einem Benutzer ins Citrix einloggen, in dessen Abwesenheit.
Vor allem beim halbjährlichen Abteilungswechsel der Lehrlinge oder halt einfach, um in Ruhe ein Problem zu analysieren.

Aktuell haben wir eine kennwortgeschützte Excel-Datei mit allen Benutzer-Kennwörtern drin.
Die Kennwörter laufen nie ab, und die User können sie auch nicht ändern.
Das ist die aktuelle Politik: einmal ein sicheres Passwort setzen, dafür nicht alle 2 Monate ändern müssen.

Soll-Zustand:
durch die Revision haben wir die Empfehlung erhalten, dass wir - zu unserem Selbstschutz - diese Liste aufgeben sollten. Absolut verständlich!

Nur bringt das z.B. folgendes Problem mit sich:
wenn wir uns als ein Benutzer einloggen wollen, müssten wir immer sein Passwort zurücksetzen.
Selbst wenn wir den Haken "Muss das Passwort bei der nächsten Anmeldung ändern" setzen ist das witzlos, weil der User das von uns temporär gesetzte Kennwort ja nicht weiss.



Ich habe über Google schon die Möglichkeit von so Self-Service Portalen gefunden, kommt bei uns aber nicht in Frage (die Leute wären schlicht überfordert...).


Wie können wir das lösen?
Bin sehr gespannt auf eure Kommentare :) face-smile


Herzliche Grüsse
Tom
Mitglied: DerWoWusste
14.12.2015, aktualisiert um 21:00 Uhr
Hi.

Ich hätte da zwein interessante Ansätze für Dich:
Das eine wäre eine zusätzliche Software, die es Supportkonten erlaubt, gesperrte Nutzersitzungen zu entsperren: http://www.e-motional.com/ULAdmin.htm
zum Zweiten: Du könntest über Autounlock in Verbindung mit einer Festplattenverschlüsselung (z.B. BItlocker) nachdenken. Und zwar so: Nutzer gibt sein Bitlockerkennwort ein, Rechner fährt hoch und meldet sich automatisch an. Bei Sperrung des PCs muss der Nutzer natürlich sein Kennwort eingeben.
Kommt nun der Admin, kommt er an BItlocker mit seinem eigenen Schlüssel vorbei und dank Autologon kommt er in die Nutzersitzung.

Darüber sollte man Nutzer natürlich informieren. Dass Admins immer und zu jeder Zeit im Namen des Nutzer handeln könnten und somit das von der Revision Geforderte eigentlich lächerlich ist, sollte auch klar sein (nur um den Schutz dieser Kennwort-Datei würde ich mir Sorgen machen).
Bitte warten ..
Mitglied: thaefliger
14.12.2015 um 11:25 Uhr
Hi

es geht nicht zwingend um gesperrte Nutzersitzungen, sondern um komplett abgemeldete User als die wir uns einloggen müssen.
Bei den gesperrten schaue ich einfach im AppCenter wann sie wieder am arbeiten sind (Leerlaufzeit).

Bitlocker kommt wohl auch eher nicht in Frage in einer Terminalserver-Umgebung?
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 14.12.2015, aktualisiert um 17:47 Uhr
Nee, das kommt da natürlich nicht in Frage :-) face-smile
Ok, dann bleibt Dir:
-Kennwort ändern und auf ein vorher mit dem Mitarbeiter vereinbartes zurücksetzen (man kann dies auch vor dem Supportbedarf vereinbaren)
-Einen zweiten Logonfaktor einführen (2FA, z.B. Rohos), den dann der Admin bekommt
-das bisherige Vorgehen rechtfertigen, auch im Lichte des Aufwandes, welchen wir gerade festgestellt haben
Bitte warten ..
Mitglied: thaefliger
14.12.2015 um 11:51 Uhr
Ja das wird wirklich ein Abwägen zwischen Aufwand und Nutzen...

entweder Variante 1 oder Variante 3 wie von dir vorgeschlagen.


Vielen Dank dir!
Bitte warten ..
Mitglied: eisbein
14.12.2015 um 12:03 Uhr
Hallo!

Bei uns wird Variante 1 angewandt. - Ist vom Aufwand/Nutzen am einfachsten.
Der User (und nur dieser betreffende User) bekommt vorher eine Info, dass wir wider erwarten etwas arbeiten wollen ;-) face-wink
Wir verwenden allerdings ein Standardkennwort. Beim nächsten Login weis der User, dass er mit dem Standardkennwort arbeiten muss. Eine Kennwortänderung wird danach automatisch verlangt.

Gruß
Eisbein
Bitte warten ..
Mitglied: thaefliger
14.12.2015 um 12:07 Uhr
Hallo @eisbein

unsere Überlegungen gehen auch in diese Richtung mit dem Standardpasswort.


Gruss
Tom
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
14.12.2015, aktualisiert um 12:19 Uhr
Hi,
man kann den aktuellen NTHash des Accounts auch mit folgendem Powershell-Module auslesen, dann Passwort ändern und hinterher den alten NTHash wieder mit Set-SamAccountPasswordHash zurückschreiben, quick but dirty ;-) face-wink.
https://www.dsinternals.com/en/list-of-cmdlets-in-the-dsinternals-module ...

Gruß jodel32
Bitte warten ..
Mitglied: DerWoWusste
14.12.2015 um 12:48 Uhr
@114757
Ui. Cool!
Bitte warten ..
Mitglied: colinardo
14.12.2015, aktualisiert um 13:04 Uhr
Moin zusammen,
Zitat von @114757:
man kann den aktuellen NTHash des Accounts auch mit folgendem Powershell-Module auslesen, dann Passwort ändern und hinterher den alten NTHash wieder mit Set-SamAccountPasswordHash zurückschreiben, quick but dirty ;-) face-wink.
https://www.dsinternals.com/en/list-of-cmdlets-in-the-dsinternals-module ...

Ergänzend zu Jodel's Tipp hier noch der nötige Befehl um Live einen Snapshot der NTDS.dit und das SYSTEM-Hive zu erstellen, was für das Extrahieren der Hashes mit dem PS-Module nötig ist, will man keine Offline Kopie oder Backup hernehmen, denn die Live-Daten lassen sich mit den PS-Module nicht verwenden da sie ja aktuell in Verwendung sind.
Macht einen Snapshot der NTDS.dit und dem SYSTEM Hive nach C:\ntds_backup.

Grüße Uwe
Bitte warten ..
Mitglied: Lochkartenstanzer
14.12.2015 um 13:27 Uhr
Moin,

Meine Methode ist, den Benutzer anzuweisen, ein bestimmtes Paßwort zu setzen, das natürlich variiert, damit andere User nicht die Situation ausnutzen können.Nach Durchführung der Arbeiten wird einfach eingestellt, daß der benutzer sein Paßwort bein nächsten login ändern mußt. Da kann er wieder das vorhergehende oder ein anderes wählen.

lks
Bitte warten ..
Mitglied: thaefliger
14.12.2015 um 13:50 Uhr
Coole Idee @114757 :) face-smile was Powershell so alles kann :P
Bitte warten ..
Mitglied: DerWoWusste
14.12.2015 um 14:26 Uhr
Und mit welchem Befehl extrahiert Ihr? Ich sehe nur set, aber nicht get.
Bitte warten ..
Mitglied: colinardo
LÖSUNG 14.12.2015, aktualisiert um 17:47 Uhr
Zitat von @DerWoWusste:
Und mit welchem Befehl extrahiert Ihr? Ich sehe nur set, aber nicht get.
mit Get-ADDBAccount
https://www.dsinternals.com/en/dumping-ntds-dit-files-using-powershell/

habe mal ein Skript gebastelt das euch alles abnimmt, inkl Erstellen des Snapshots der AD-DB und SYSTEM Hive wie oben geschrieben (installiertes PS Module DSInternals vorrausgesetzt):
Zum holen des Hashes:
ausführen. Dann wird der Hash in einer Textdatei im Aufrufverzeichnis gespeichert.

Zum Restoren des Hashes aus der Textdatei danach im selben Verzeichnis folgendes ausführen

Bitte warten ..
Mitglied: DerWoWusste
14.12.2015, aktualisiert um 20:52 Uhr
Jou. Uwe mal wieder unterbeschäftigt gewesen ;-) face-wink
Bitte warten ..
Mitglied: colinardo
14.12.2015, aktualisiert um 16:17 Uhr
Zitat von @DerWoWusste:

Jou. Uwe mal wieder unterbeschäfigt gewesen ;-) face-wink
Ja, ich weiß, ich sollte meine eigentliche Arbeit weniger automatisieren :-D face-big-smile, damit ich wieder mal mehr Arbeit hab, aber wozu gibt es so schöne Skriptsprachen, wenn sie einem mehr Zeit für die wichtigen Dinge im Leben geben ;-) face-wink.
Bitte warten ..
Mitglied: DerWoWusste
14.12.2015 um 17:09 Uhr
mehr Zeit für die wichtigen Dinge
=noch mehr coden? ;-) face-wink
Bitte warten ..
Mitglied: DerWoWusste
14.12.2015, aktualisiert um 20:42 Uhr
Getestet, funktioniert.
Und weil's so schön ist: hier gleich noch eine Methode, die

A sehr einfach an den Hash kommt (ohne Powershellmodul-import und Konsorten)
B aufzeigt, wie (un-)sicher selbst die Cleartextpasswörter der Domäne vor dem Admin wirklich sind (falls es da noch Restzweifel geben sollte bei Euren Revisionisten).
C klar macht, was denn nun an der Option "umkehrbare Verschlüsselung ("reversible encryption") bei Kennwörtern eigentlich so schlimm ist :-) face-smile
D nebenbei zeigt, dass das Privileg "Create msDS-PasswordSettings" (PSO-Erstellung) auf gar keinen Fall an Leute delegiert werden darf, die nicht eh Domänenadmins sind.

https://adsecurity.org/?p=2053
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Was passiert wenn ich zeitgleich PoE und Strom vom Netzteil an einen Access Point (Mikrotik) lege?
kartoffelesserVor 1 TagFrageNetzwerke3 Kommentare

Hallo Experten und Admins Ich habe einen Mikrotik wAP ac (RB-WAPG-5HACD2HND) an einem Laptopwagen im Einsatz. Leider ist die vorhandene Stromversorgung für den AP ...

Windows Server
Infrastruktur für Firma
brainwashVor 19 StundenFrageWindows Server7 Kommentare

Hallo zusammen, kurze Erklärung zu meinem Problem Wir sind eine kleine Firma mit zwei Standorten im Bereich Brandschutz. Zur Zeit nutzen wir für unsere ...

Netzwerkprotokolle
Proxy Zugang von Extern
gelöst Jannik2018Vor 1 TagFrageNetzwerkprotokolle17 Kommentare

Hallo zusammen, ich habe mir einen Squid Proxy auf einer Linux VM aufgesetzt und möchte das man aus allen netzen drauf zugreifen kann allerdings ...

Windows Server
Windows 10 VM auf Server 2019 Essentials
jhuedderVor 1 TagFrageWindows Server10 Kommentare

Hallo, einer meiner Kunden möchte aus Kostengründen einen Windows Server 2019 (direkt auf einer physikalischen Maschine installiert) erwerben und dort für einen Außendienstler mit ...

Server-Hardware
Verkaufe RX300 S7 Server von Fuijutsu
HolzBrettVor 20 StundenAllgemeinServer-Hardware9 Kommentare

Hi, Ich wohne in Aachen und habe die Server von der Firma umsonst erhalten. Ich habe sie bereits überprüft (es geht alles). Ich möchte ...

Windows Server
Veeam Endpoint Backup FREE zur Sicherung eines DCs
gelöst takvorianVor 1 TagFrageWindows Server7 Kommentare

Hallo zusammen, ich habe hier bei mir 1 Hypervisor mit 4 VMs (darunter 1 DC) welche ich mittels backupAssist alle wegsichere. Klappt soweit auch ...

LAN, WAN, Wireless
WLan-unterstütztes Telefonieren iOS, Unifi
VisuciusVor 1 TagFrageLAN, WAN, Wireless8 Kommentare

Hallo. Ich bins (wieder) ;-) Guten Morgen, ich beobachte seit einer Umstellung ein "komisches Verhalten" und kann mir das gerade nicht erklären. Und vielleicht ...

LAN, WAN, Wireless
Heimnetzwerk mit VLAN - getrennter Internetzugang
gelöst anyibkVor 1 TagFrageLAN, WAN, Wireless5 Kommentare

Hallo liebe Community! Ich bastle seit einiger Zeit an einem recht besonderen Heimnetzwerkproblem. Wir haben einen neuen Glasfaseranschluss ins Haus (3 Parteien) bekommen und ...