4
Verschlüsselungsmethode Active-Directory Domänen Usern
Ahoi, ich hätte eine Frage bez. Passwörter von Active-Directory/Domänen Usern.
Und zwar würde ich gerne wissen mit welcher Verschlüsselungsmethode die Passwörter verschlüsselt werden. (Typ und Bit)
Domänenfunktionsebene ist (leider noch) Server 2003
Gruß
Und zwar würde ich gerne wissen mit welcher Verschlüsselungsmethode die Passwörter verschlüsselt werden. (Typ und Bit)
Domänenfunktionsebene ist (leider noch) Server 2003
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 320242
Url: https://administrator.de/contentid/320242
Ausgedruckt am: 26.11.2024 um 01:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
AD bzw. Windows Server "kann" mehrere Methoden:
- MD4 (aka NT Hash) - Used for NTLM authentication.
- LM Hash - Disabled by default since Windows Server 2003 (for a very good reason). Used for LM authentication.
- DES_CBC_MD5 - Salted with user logon name and hashed 4096 times using MD5. Used for Kerberos authentication.
- AES256_CTS_HMAC_SHA1_96, AES128_CTS_HMAC_SHA1_96 - Used for Kerberos authentication since Windows Server 2008. Salted with user -logon name and hashed 4096 times using HMAC-SHA1.
- 29 MD5 hashes, each using a different combination of login and domain name. Used for WDigest authentication
- Reversibly encrypted cleartext password - Disabled by default. Required by MS-CHAPv1 RADIUS authentication.
Quelle (u.A.): https://www.dsinternals.com/en/dumping-ntds-dit-files-using-powershell/
lg,
Slainte
AD bzw. Windows Server "kann" mehrere Methoden:
- MD4 (aka NT Hash) - Used for NTLM authentication.
- LM Hash - Disabled by default since Windows Server 2003 (for a very good reason). Used for LM authentication.
- DES_CBC_MD5 - Salted with user logon name and hashed 4096 times using MD5. Used for Kerberos authentication.
- AES256_CTS_HMAC_SHA1_96, AES128_CTS_HMAC_SHA1_96 - Used for Kerberos authentication since Windows Server 2008. Salted with user -logon name and hashed 4096 times using HMAC-SHA1.
- 29 MD5 hashes, each using a different combination of login and domain name. Used for WDigest authentication
- Reversibly encrypted cleartext password - Disabled by default. Required by MS-CHAPv1 RADIUS authentication.
Quelle (u.A.): https://www.dsinternals.com/en/dumping-ntds-dit-files-using-powershell/
lg,
Slainte
1
Danke dir vielmals 
Jetzt hätte ich aber trotzdem noch eine Frage. Die Domänenfunktionsebene ist noch Server 2003.
Das AD läuft auf Server 2012 R2 Standard. Heißt das dann, dass die Passwörter automatisch grundsätzlich mit CTS_HMAC_SHA1_96 verschlüsselt werden, (laut oben stehende Liste) weil Kerberos das Standard-Authentifizierungs-Protokoll einer Windows-Domäne ist seit Windows Server 2000?
Wenn ja, woher weiß ich ob:
AES256_CTS_HMAC_SHA1_96
oder
AES128_CTS_HMAC_SHA1_96
?
Jetzt hätte ich aber trotzdem noch eine Frage. Die Domänenfunktionsebene ist noch Server 2003.
Das AD läuft auf Server 2012 R2 Standard. Heißt das dann, dass die Passwörter automatisch grundsätzlich mit CTS_HMAC_SHA1_96 verschlüsselt werden, (laut oben stehende Liste) weil Kerberos das Standard-Authentifizierungs-Protokoll einer Windows-Domäne ist seit Windows Server 2000?
Wenn ja, woher weiß ich ob:
AES256_CTS_HMAC_SHA1_96
oder
AES128_CTS_HMAC_SHA1_96
?
Zudem hätte ich noch eine Frage:
Die Kerberos Verschlüsselung sorgt doch nur dafür, dass der Schlüsselaustausch und die Übergabe des Passworts verschlüsselt ist, aber nicht das Passwort selbst das im AD abliegt, oder?
Denn genau darum geht es mir > Ist standardmäßig eine Verschlüsselung der AD Benutzerpasswörter Passwörter aktiv?
Die Kerberos Verschlüsselung sorgt doch nur dafür, dass der Schlüsselaustausch und die Übergabe des Passworts verschlüsselt ist, aber nicht das Passwort selbst das im AD abliegt, oder?
Denn genau darum geht es mir > Ist standardmäßig eine Verschlüsselung der AD Benutzerpasswörter Passwörter aktiv?
woher weiß ich ob:
AES256_CTS_HMAC_SHA1_96
oder
AES128_CTS_HMAC_SHA1_96
Da muss ich auch passen, sorry.AES256_CTS_HMAC_SHA1_96
oder
AES128_CTS_HMAC_SHA1_96
Ist standardmäßig eine Verschlüsselung der AD Benutzerpasswörter Passwörter aktiv?
Ja. Passwörder werden im AD standardmässig als Hash (also per Definition irreversible) abgelegt. Es gibt allerdings die Möglichkeit PWs mit reversibler Verschüsselung im AD zu speichern - wovon allerdings abgeraten wird.1
