derwowusste
23.05.2025 um 13:18:55 Uhr
view436
view4
7
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

Server 2025 - dmsa birgt ungeahnte Risiken für das gesamte AD

FrageWindows Server 2025Erkennung, Abwehr
Bezug: https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege ...

In Kürze: wenn man im AD OUs hat, in denen normale Nutzer "spielen" dürfen und dazu bestimmte Berechtigungen delegiert bekommen haben, dann kann "dank" des neuen Sicherheits-Features dmsa von Server 2025 (nur wenn Ihr schon 2025er DCs habt!) von solchen normalen Nutzern aus die gesamte Domäne übernommen werden.

Noch gibt es keinen Fix, aber es sind zumindest Skripte verlinkt, die die Rechte auf OUs prüfen und Alarm schlagen, wenn dies möglich wäre.
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 672998

Url: https://administrator.de/forum/server-2025-dmsa-birgt-ungeahnte-risiken-fuer-das-gesamte-ad-672998.html

Ausgedruckt am: 23.05.2025 um 18:05 Uhr

4 Kommentare
Neuester Kommentar
Goto Top
Penny.Cilin
Penny.Cilin 23.05.2025 um 15:18:55 Uhr
Goto Top
Hat Günter Born bereits gestern in seinem Blog veröffentlicht.

Gruss Penny.
Penny.Cilin
Penny.Cilin 23.05.2025 um 16:52:22 Uhr
Goto Top
Ich würde ja ganz gerne mal unser AD testen. Finde aber nirgendwo das Skript / Toolset was-auch-immer dazu.
Oder ich übersehe etwas.

Gruss Penny.
DerWoWusste
DerWoWusste 23.05.2025 um 17:09:30 Uhr
Goto Top
Wenn man auf der verlinkten Site nach "Script" sucht, findet man zu https://github.com/akamai/BadSuccessor
Penny.Cilin
Penny.Cilin 23.05.2025 um 17:13:29 Uhr
Goto Top
Okay, man sollte schon sorgsam lesen 😒.

Vielen Dank.

Gruss Penny.
FrageWindows Server 2025Erkennung, Abwehr
Mehr von DerWoWussteDerWoWussteInteressanter Trick für Windows-NutzersupporterDerWoWusste - 18 KommentareDerWoWussteWiFi-Calling und VPN-Nutzung beißen sichDerWoWusste - 11 KommentareDerWoWussteOWA macht aus .png-Anhang winmail.datDerWoWusste - 9 KommentareDerWoWussteTask-Berechtigungen via PowerShell vergebenDerWoWusste
Heiß diskutiert
MysticFoxDEMicrosoft sperrt auf Anordnung von Trump das E-Mail-Konto eines IStGH MitarbeitersMysticFoxDE - 25 KommentareHolgerLuchsHandgeschriebene Signatur in PDF einfach einfügen (einfachste und kostengünstigste Lösung)HolgerLuchs - 24 KommentareCoreknabeFrage zum Apple AccountCoreknabe - 23 KommentareMarabuntaVM-Host ServerupgradeMarabunta - 23 KommentareMeinGottWalterDatei hosts zur Abwehr von DatenschnüffeleienMeinGottWalter - 23 KommentaregravelkingMicrosoft Authenticatorgravelking - 21 KommentaremarkaurelWorkstation Neuinstallation Windows unter Beibehaltung Einstellungen und Datenmarkaurel - 19 KommentarempanziWindows-Oberfläche bleibt schwarz - aber es funktioniert allesmpanzi - 19 KommentareDerWoWussteInteressanter Trick für Windows-NutzersupporterDerWoWusste - 18 KommentareYan2021VPN-Verbingung per Wireguard zum neuen Router herstellenYan2021 - 17 Kommentarepasu69Brother MFC-L5710DN Fax Problempasu69 - 16 KommentareemeriksGemeinsame Kalender von Public Folder ins EXOemeriks - 15 KommentarezimbosmurfKVM-Switch 2x Monitor an 4x PC - Tastatur und Maus getrennt schaltbarzimbosmurf - 14 Kommentare