user79
Nov 07, 2016
view4108
view4
0
Goto Top

Verschlüsselungsmethode Active-Directory Domänen Usern

GermansolvedQuestionWindows ServerMicrosoft
Ahoi, ich hätte eine Frage bez. Passwörter von Active-Directory/Domänen Usern.
Und zwar würde ich gerne wissen mit welcher Verschlüsselungsmethode die Passwörter verschlüsselt werden. (Typ und Bit)

Domänenfunktionsebene ist (leider noch) Server 2003

Gruß
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 320242

Url: https://administrator.de/contentid/320242

Printed on: April 26, 2024 at 21:04 o'clock

4 Comments
Latest comment
Goto Top
Member: SlainteMhath
Solution SlainteMhath Nov 07, 2016 at 14:21:59 (UTC)
Goto Top
Moin,

AD bzw. Windows Server "kann" mehrere Methoden:

- MD4 (aka NT Hash) - Used for NTLM authentication.
- LM Hash - Disabled by default since Windows Server 2003 (for a very good reason). Used for LM authentication.
- DES_CBC_MD5 - Salted with user logon name and hashed 4096 times using MD5. Used for Kerberos authentication.
- AES256_CTS_HMAC_SHA1_96, AES128_CTS_HMAC_SHA1_96 - Used for Kerberos authentication since Windows Server 2008. Salted with user -logon name and hashed 4096 times using HMAC-SHA1.
- 29 MD5 hashes, each using a different combination of login and domain name. Used for WDigest authentication
- Reversibly encrypted cleartext password - Disabled by default. Required by MS-CHAPv1 RADIUS authentication.

Quelle (u.A.): https://www.dsinternals.com/en/dumping-ntds-dit-files-using-powershell/

lg,
Slainte
heart1
Member: User79
User79 Nov 07, 2016 updated at 18:45:35 (UTC)
Goto Top
Danke dir vielmals face-smile

Jetzt hätte ich aber trotzdem noch eine Frage. Die Domänenfunktionsebene ist noch Server 2003.
Das AD läuft auf Server 2012 R2 Standard. Heißt das dann, dass die Passwörter automatisch grundsätzlich mit CTS_HMAC_SHA1_96 verschlüsselt werden, (laut oben stehende Liste) weil Kerberos das Standard-Authentifizierungs-Protokoll einer Windows-Domäne ist seit Windows Server 2000?
Wenn ja, woher weiß ich ob:
AES256_CTS_HMAC_SHA1_96
oder
AES128_CTS_HMAC_SHA1_96
?
Member: User79
User79 Nov 08, 2016 at 07:50:08 (UTC)
Goto Top
Zudem hätte ich noch eine Frage:
Die Kerberos Verschlüsselung sorgt doch nur dafür, dass der Schlüsselaustausch und die Übergabe des Passworts verschlüsselt ist, aber nicht das Passwort selbst das im AD abliegt, oder?
Denn genau darum geht es mir > Ist standardmäßig eine Verschlüsselung der AD Benutzerpasswörter Passwörter aktiv?
Member: SlainteMhath
Solution SlainteMhath Nov 08, 2016 at 08:34:19 (UTC)
Goto Top
woher weiß ich ob:
AES256_CTS_HMAC_SHA1_96
oder
AES128_CTS_HMAC_SHA1_96
Da muss ich auch passen, sorry.

Ist standardmäßig eine Verschlüsselung der AD Benutzerpasswörter Passwörter aktiv?
Ja. Passwörder werden im AD standardmässig als Hash (also per Definition irreversible) abgelegt. Es gibt allerdings die Möglichkeit PWs mit reversibler Verschüsselung im AD zu speichern - wovon allerdings abgeraten wird.
heart1
GermansolvedQuestionWindows ServerMicrosoft