Windows - Automatische Passworteingabe in Anmeldebildschirm und UAC Prompt
Hallo zusammen,
ich suche derzeit nach einer Möglichkeit, automatisch Passwörter in den Windows Anmeldedialog oder in UAC Prompts (Als Admin ausführen) einzufügen.
Wir greifen auf unsere Clients meist via VNC oder VMware Webconsole zu. Zudem nutzen wir Windows LAPS, weshalb die Passwörter dynamisch, lang und komplex sind. Ein Abtippen ist nervig und dauert lange und ein Einfügen funktioniert aus Sicherheitsgründen OS-seitig nicht. Es muss sich scheinbar um echte Tastatureingaben durch ein HID handeln.
Ursprünglich dachte ich nämlich, dass ein einfaches Tool, welches das Passwort nach kurzer Zeit automatisch eingibt, genügen würde. Ich hatte hier ein kleines Tool mit Sendkeys bzw. Windows Input Simulator (C#) geschrieben, welches aber aus den o.g. Gründen nicht in Remote Sessions funktioniert hat.
Im Internet habe ich leider keine Lösung für mein Problem gefunden, ich habe aber zwei Ideen:
Eingabe via QR-Code Scanner
Meines Wissens nach, werden Eingaben durch einen Barcode/QR-Code Scanner, Tastaturanschläge interpretiert. Ich hatte auf Amazon einen günstigen gekauft, allerdings hatte ich dort Probleme mit der Eingabe von Sonderzeichen. Scheinbar muss man beim Kauf darauf achten, dass der QR-Code Scanner - "Full ASCII" unterstützt und natürlich auch ein deutsches Keyboard-Layout. Scheinbar gibt es von Zebra oder Honeywell entsprechende Scanner.
Meine Idee ist hier, dass ich das entsprechende Passwort in ein kleines Tool einfüge und darüber einen QR-Code generiere. Dann klicke ich in das entsprechende Eingabefeld auf dem Remote PC/Server und scanne den QR-Code ein.
Eingabe via Arduino Leonardo
Eine zweite Idee die ich habe ist, dass Passwort via COM-Schnittstelle an einen Arduino Leonardo zu senden. Dieser kann dann wohl das Passwort automatisch als HID Keyboard eintippen. Also quasi ein dynamischer Rubber Ducky - wenn man das so nennen kann.
Auch hier würde ich das Passwort in ein kleines Tool eingeben, welches dann einen Moment wartet, bevor es den Passwortstring via serieller COM-Schnittstelle an den Leonardo sendet.
Bin ich mit diesen Lösungsideen auf dem Holzweg und es gibt etwas viel besseres/einfacheres? Generell wundert es mich, dass ich dazu im Internet quasi nichts finde.
Zudem noch zur Info, falls es wichtig ist: Bei uns ist alles on-prem, also bringen mir Lösungen via Entra-ID leider nichts.
Gruß,
PMacke
ich suche derzeit nach einer Möglichkeit, automatisch Passwörter in den Windows Anmeldedialog oder in UAC Prompts (Als Admin ausführen) einzufügen.
Wir greifen auf unsere Clients meist via VNC oder VMware Webconsole zu. Zudem nutzen wir Windows LAPS, weshalb die Passwörter dynamisch, lang und komplex sind. Ein Abtippen ist nervig und dauert lange und ein Einfügen funktioniert aus Sicherheitsgründen OS-seitig nicht. Es muss sich scheinbar um echte Tastatureingaben durch ein HID handeln.
Ursprünglich dachte ich nämlich, dass ein einfaches Tool, welches das Passwort nach kurzer Zeit automatisch eingibt, genügen würde. Ich hatte hier ein kleines Tool mit Sendkeys bzw. Windows Input Simulator (C#) geschrieben, welches aber aus den o.g. Gründen nicht in Remote Sessions funktioniert hat.
Im Internet habe ich leider keine Lösung für mein Problem gefunden, ich habe aber zwei Ideen:
Eingabe via QR-Code Scanner
Meines Wissens nach, werden Eingaben durch einen Barcode/QR-Code Scanner, Tastaturanschläge interpretiert. Ich hatte auf Amazon einen günstigen gekauft, allerdings hatte ich dort Probleme mit der Eingabe von Sonderzeichen. Scheinbar muss man beim Kauf darauf achten, dass der QR-Code Scanner - "Full ASCII" unterstützt und natürlich auch ein deutsches Keyboard-Layout. Scheinbar gibt es von Zebra oder Honeywell entsprechende Scanner.
Meine Idee ist hier, dass ich das entsprechende Passwort in ein kleines Tool einfüge und darüber einen QR-Code generiere. Dann klicke ich in das entsprechende Eingabefeld auf dem Remote PC/Server und scanne den QR-Code ein.
Eingabe via Arduino Leonardo
Eine zweite Idee die ich habe ist, dass Passwort via COM-Schnittstelle an einen Arduino Leonardo zu senden. Dieser kann dann wohl das Passwort automatisch als HID Keyboard eintippen. Also quasi ein dynamischer Rubber Ducky - wenn man das so nennen kann.
Auch hier würde ich das Passwort in ein kleines Tool eingeben, welches dann einen Moment wartet, bevor es den Passwortstring via serieller COM-Schnittstelle an den Leonardo sendet.
Bin ich mit diesen Lösungsideen auf dem Holzweg und es gibt etwas viel besseres/einfacheres? Generell wundert es mich, dass ich dazu im Internet quasi nichts finde.
Zudem noch zur Info, falls es wichtig ist: Bei uns ist alles on-prem, also bringen mir Lösungen via Entra-ID leider nichts.
Gruß,
PMacke
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672825
Url: https://administrator.de/forum/windows-automatische-passworteingabe-in-anmeldebildschirm-und-uac-prompt-672825.html
Ausgedruckt am: 02.06.2025 um 03:06 Uhr
24 Kommentare
Neuester Kommentar
... mal abgesehen davon, das du per deinen vorgeschlagenen/ausprobierten Versuchen die lokalen Sicherheitsvorgaben in der Remote-Sitzungen inakzeptabel umgehen würdest ..
ein QR/Barcode-Scanner ist in der Regel programmierbar, was Den Typ und Zeichensatz angeht ...
Du solltest auch bedenken, das du mir solchem Vorgehen ggf. Tore für Fremdzugriffe öffnest ...
... mal abgesehen davon, das ein Firmen-Management / SIcherheitsbeauftragter dir sicherlich das Lineal auf den Allerwertesten hauen wird, falls er mangels deiner fortwährenden Betriebszugehörigkeit dazu noch kommt 🤪🤩
Nachtrag: Gemäß den Forum-Regeln dürfte dir auch keiner eine evtl. mögliche Lösung mitteilen 🤪
ein QR/Barcode-Scanner ist in der Regel programmierbar, was Den Typ und Zeichensatz angeht ...
Du solltest auch bedenken, das du mir solchem Vorgehen ggf. Tore für Fremdzugriffe öffnest ...
... mal abgesehen davon, das ein Firmen-Management / SIcherheitsbeauftragter dir sicherlich das Lineal auf den Allerwertesten hauen wird, falls er mangels deiner fortwährenden Betriebszugehörigkeit dazu noch kommt 🤪🤩
Nachtrag: Gemäß den Forum-Regeln dürfte dir auch keiner eine evtl. mögliche Lösung mitteilen 🤪
Zitat von @MirkoKR:
... mal abgesehen davon, das du per deinen vorgeschlagenen/ausprobierten Versuchen die lokalen Sicherheitsvorgaben in der Remote-Sitzungen inakzeptabel umgehen würdest ..
Welche lokalen Sicherheitsvorgaben meinst du?... mal abgesehen davon, das du per deinen vorgeschlagenen/ausprobierten Versuchen die lokalen Sicherheitsvorgaben in der Remote-Sitzungen inakzeptabel umgehen würdest ..
Du solltest auch bedenken, das du mir solchem Vorgehen ggf. Tore für Fremdzugriffe öffnest ...
Könntest du das etwas genauer erläutern?... mal abgesehen davon, das ein Firmen-Management / SIcherheitsbeauftragter dir sicherlich das Lineal auf den Allerwertesten hauen wird, falls er mangels deiner fortwährenden Betriebszugehörigkeit dazu noch kommt 🤪🤩
Nachtrag: Gemäß den Forum-Regeln dürfte dir auch keiner eine evtl. mögliche Lösung mitteilen 🤪
Nachtrag: Gemäß den Forum-Regeln dürfte dir auch keiner eine evtl. mögliche Lösung mitteilen 🤪
Ich suche lediglich nach einer Möglichkeit, die Passworteingabe von langen, komplexen Kennwörtern bei uns im Hause effizienter zu gestalten. Wenn das Ergebnis am Ende manuelles Abtippen ist, ist das auch okay.
Deswegen habe ich diesen Forum Eintrag erstellt, da vielleicht schon mal jemand vor dieser Problemstellung stand und eine gute Lösung dafür gefunden hat. Was dabei gegen Forum Regeln verstößt, ist mir nicht ganz klar.
Mahlzeit.
Wir lösen das über das bei unserer Softwareverteilung enthaltene Fernwartungs-Werkzeug.
Den Weg über VNC würde ich zu Gunsten von anderen Produkten wie Rustdesk links liegen lassen.
Längere Kennwort-Eingaben sind hier wohl das Einzige, was du tun kannst. Falls ihr einen Kennwortmanager im Einsatz habt, kann dort ja das aktuelle LAPS-Kennwort hinterlegt und herauskopiert werden.
Du fragst nach dem Umgehen von Sicherheitsmechanismen. Es erweckt den Eindruck, dass du möglicherweise ein Skript schreibst, welches erbeutete Admin-Zugangsdaten in einen Firmen-PC automatisiert einklimpern lassen soll.
Daher der Hinweis des Kollegen.
Gruß
Marc
Wir lösen das über das bei unserer Softwareverteilung enthaltene Fernwartungs-Werkzeug.
Den Weg über VNC würde ich zu Gunsten von anderen Produkten wie Rustdesk links liegen lassen.
Längere Kennwort-Eingaben sind hier wohl das Einzige, was du tun kannst. Falls ihr einen Kennwortmanager im Einsatz habt, kann dort ja das aktuelle LAPS-Kennwort hinterlegt und herauskopiert werden.
Deswegen habe ich diesen Forum Eintrag erstellt, da vielleicht schon mal jemand vor dieser Problemstellung stand und eine gute Lösung dafür gefunden hat. Was dabei gegen Forum Regeln verstößt, ist mir nicht ganz klar.
Du fragst nach dem Umgehen von Sicherheitsmechanismen. Es erweckt den Eindruck, dass du möglicherweise ein Skript schreibst, welches erbeutete Admin-Zugangsdaten in einen Firmen-PC automatisiert einklimpern lassen soll.
Daher der Hinweis des Kollegen.
Gruß
Marc
1Zitat von @radiogugu:
Vorab schon mal danke, für deinen wesentlich konstruktiveren Beitrag. Musste einmal gesagt werden...
Den Weg über VNC würde ich zu Gunsten von anderen Produkten wie Rustdesk links liegen lassen.
Das war zwar nicht die Frage, aber Rustdesk wollte ich mir sowieso mal anschauen. Wir nutzen zur Authentifizierung (VNC) Smartcards. Laut kurzem ChatGPT prompt, werden Smartcards von Rustdesk nicht unterstützt.Längere Kennwort-Eingaben sind hier wohl das Einzige, was du tun kannst. Falls ihr einen Kennwortmanager im Einsatz habt, kann dort ja das aktuelle LAPS-Kennwort hinterlegt und herauskopiert werden.
Die LAPS Passwörter stehen ja im AD im entsprechenden Objekt und ändern sich sehr regelmäßig. Ein einfaches Einfügen funktioniert aufgrund Windows Default verhalten ja nicht, deswegen die Lösung nach einer alternative.Du fragst nach dem Umgehen von Sicherheitsmechanismen. Es erweckt den Eindruck, dass du möglicherweise ein Skript schreibst, welches erbeutete Admin-Zugangsdaten in einen Firmen-PC automatisiert einklimpern lassen soll.
Ich habe lediglich die Standard Sicherheitsmaßnamen von Windows beschrieben. Die Zugangsdaten liegen natürlich entweder im AD (LAPS) bzw. im Passwortmanager. Dort sind natürlich die Zugriffe entsprechend beschränkt.Zitat von @PMacke:
Ich habe lediglich die Standard Sicherheitsmaßnamen von Windows beschrieben. Die Zugangsdaten liegen natürlich entweder im AD (LAPS) bzw. im Passwortmanager. Dort sind natürlich die Zugriffe entsprechend beschränkt.
Ich habe lediglich die Standard Sicherheitsmaßnamen von Windows beschrieben. Die Zugangsdaten liegen natürlich entweder im AD (LAPS) bzw. im Passwortmanager. Dort sind natürlich die Zugriffe entsprechend beschränkt.
Ja, und diese möchtest du mit Automatismen umgehen.
Da wir aber deine Intention nicht kennen - die ja durchaus von deinen genannten abweichen kann - dürfen wir dir keine Lösungen nennen, die ggf. einem illegalen Angriff zugute kommen könnten - Sorry - oder auch nicht sorry 🤩🫣
Zitat von @MirkoKR:
Ja, und diese möchtest du mit Automatismen umgehen.
Da wir aber deine Intention nicht kennen - die ja durchaus von deinen genannten abweichen kann - dürfen wir dir keine Lösungen nennen, die ggf. einem illegalen Angriff zugute kommen könnten - Sorry - oder auch nicht sorry 🤩🫣
Zitat von @PMacke:
Ich habe lediglich die Standard Sicherheitsmaßnamen von Windows beschrieben. Die Zugangsdaten liegen natürlich entweder im AD (LAPS) bzw. im Passwortmanager. Dort sind natürlich die Zugriffe entsprechend beschränkt.
Ich habe lediglich die Standard Sicherheitsmaßnamen von Windows beschrieben. Die Zugangsdaten liegen natürlich entweder im AD (LAPS) bzw. im Passwortmanager. Dort sind natürlich die Zugriffe entsprechend beschränkt.
Ja, und diese möchtest du mit Automatismen umgehen.
Da wir aber deine Intention nicht kennen - die ja durchaus von deinen genannten abweichen kann - dürfen wir dir keine Lösungen nennen, die ggf. einem illegalen Angriff zugute kommen könnten - Sorry - oder auch nicht sorry 🤩🫣
Ich habe meine Intention versucht zu beschreiben. Ich mache mal ein Beispiel:
Angenommen wir möchten auf einem Client eine Aktion ausführen, für welche (lokale) Adminrechte erforderlich sind. Dann gehen wir ins AD, suchen das aktuelle LAPS Passwort heraus und tippen es ab. Gerade bei langen, komplexen Kennwörtern ist das nervig. Deshalb suche ich nach einer komfortableren, schnelleren Möglichkeit - sofern es diese gibt und diese sicherheitstechnisch vertretbar ist.
Zum Beispiel via QR-Code: Mein Gedanke ist folgender: Wenn ich das Passwort sowieso anzeigen lassen muss (Passwortmanager oder LAPS) und abtippe, kann ich auch gleich einen QR-Code daraus erzeugen und es via QR-Code Reader automatisch eintippen lassen. In beiden Fällen ist Shouldersurfing gleichermaßen möglich. Gleiches gilt für Kameras. Dabei ist es egal, ob ein unbefugter Dritter, ein Foto vom Passwort macht oder den QR-Code scannt.
Hier ein Screenshot vom entwickelten Tool, vielleicht wird es dann deutlicher. Im Prinzip ein lokaler QR-Code Generator.
Moin,
unsere Lösung ist ein eigens entwickelter LAPS-Client, der das LAPS-Passwort aus dem AD abruft und bei Drücken einer Tastenkombination die entsprechenden Tastenanschläge sendet. Müsste nachsehen, aber IIRC ist es einfach SendKeys.Send().
Das Passwort wird nie angezeigt und so wird zumindest shoulder surfing verhindert.
Gruß
unsere Lösung ist ein eigens entwickelter LAPS-Client, der das LAPS-Passwort aus dem AD abruft und bei Drücken einer Tastenkombination die entsprechenden Tastenanschläge sendet. Müsste nachsehen, aber IIRC ist es einfach SendKeys.Send().
Das Passwort wird nie angezeigt und so wird zumindest shoulder surfing verhindert.
Gruß
Zitat von @CamelCase:
Moin,
unsere Lösung ist ein eigens entwickelter LAPS-Client, der das LAPS-Passwort aus dem AD abruft und bei Drücken einer Tastenkombination die entsprechenden Tastenanschläge sendet. Müsste nachsehen, aber IIRC ist es einfach SendKeys.Send().
Das Passwort wird nie angezeigt und so wird zumindest shoulder surfing verhindert.
Gruß
Moin,
unsere Lösung ist ein eigens entwickelter LAPS-Client, der das LAPS-Passwort aus dem AD abruft und bei Drücken einer Tastenkombination die entsprechenden Tastenanschläge sendet. Müsste nachsehen, aber IIRC ist es einfach SendKeys.Send().
Das Passwort wird nie angezeigt und so wird zumindest shoulder surfing verhindert.
Gruß
Genau so etwas suche ich. Mit SendKeys habe ich es bereits ausprobiert, was aber leider nicht funktioniert. Ich habe gerade auch nochmal testweise die Auto-Type Funktion von KeePassXC getestet. Auch das funktioniert nicht, da es keine "echten" Tastatureingaben sind.
Quelle: ChatGPT KI
Ohne den Thread nochmal im Detail durchgegangen zu sein:
Wie seid ihr mit dem Client Verbunden?
LAN, VPB oder schlimmsten falls per Port-Weiterleitung?
Ihr könnt doch mit mstsc oder einem Verwaltungstool eine Verbindung mit dem Parameter /admin aufbauen.
OK, dann sieht der Nutzer nicht, was ihr macht, was aber bei der Frage nach UAC/ "Als Admin ausführen" nachrangig sein dürfte? 🤔
Wie seid ihr mit dem Client Verbunden?
LAN, VPB oder schlimmsten falls per Port-Weiterleitung?
Ihr könnt doch mit mstsc oder einem Verwaltungstool eine Verbindung mit dem Parameter /admin aufbauen.
OK, dann sieht der Nutzer nicht, was ihr macht, was aber bei der Frage nach UAC/ "Als Admin ausführen" nachrangig sein dürfte? 🤔
Zitat von @MirkoKR:
Ohne den Thread nochmal im Detail durchgegangen zu sein:
Wie seid ihr mit dem Client Verbunden?
LAN, VPB oder schlimmsten falls per Port-Weiterleitung?
Ihr könnt doch mit mstsc oder einem Verwaltungstool eine Verbindung mit dem Parameter /admin aufbauen.
OK, dann sieht der Nutzer nicht, was ihr macht, was aber bei der Frage nach UAC/ "Als Admin ausführen" nachrangig sein dürfte? 🤔
Ohne den Thread nochmal im Detail durchgegangen zu sein:
Wie seid ihr mit dem Client Verbunden?
LAN, VPB oder schlimmsten falls per Port-Weiterleitung?
Ihr könnt doch mit mstsc oder einem Verwaltungstool eine Verbindung mit dem Parameter /admin aufbauen.
OK, dann sieht der Nutzer nicht, was ihr macht, was aber bei der Frage nach UAC/ "Als Admin ausführen" nachrangig sein dürfte? 🤔
Du bist den Thread nie im Detail durchgegangen. Das steht in meinem zweiten Satz. Stattdessen schreibst du in deiner ersten Antwort direkt was destruktives und wirfst mir vor irgendetwas illegales zu tun und Sicherheitsmechanismen zu umgehen.
Hier die Antwort von ChatGPT (ich hoffe das ist erlaubt):
OT: Nur dann wenn du es entsprechend kennzeichnest was du leider versäumt hast! 
Sind KI-Inhalte auf dieser Website erlaubt?
FAQs lesen hilft und auch der "Bearbeiten" Knopf um das nachträglich zu korrigieren.
Wenn man denn statt selber nachzudenken immer eine dümmliche, halluziniernde KI befragen muss...
1Zitat von @PMacke:
Du bist den Thread nie im Detail durchgegangen. Das steht in meinem zweiten Satz. Stattdessen schreibst du in deiner ersten Antwort direkt was destruktives und wirfst mir vor irgendetwas illegales zu tun und Sicherheitsmechanismen zu umgehen.
Du bist den Thread nie im Detail durchgegangen. Das steht in meinem zweiten Satz. Stattdessen schreibst du in deiner ersten Antwort direkt was destruktives und wirfst mir vor irgendetwas illegales zu tun und Sicherheitsmechanismen zu umgehen.
Ich sehe da nichts über die Art der Verbindung - LAN, VPN, Remote via Port-Weiterleitung 🤪
Wir greifen auf unsere Clients meist via VNC oder VMware Webconsole zu. Zudem nutzen wir Windows LAPS, weshalb die Passwörter dynamisch, lang und komplex sind
Und ich werfe dir auch nichts vor ...
Ja, und diese möchtest du mit Automatismen umgehen.
Da wir aber deine Intention nicht kennen - die ja durchaus von deinen genannten abweichen kann -... muss aber wie jeder andere abwägen und den Regeln folgen, ob das beschriebene stimmt - wahrscheinlich ja - oder ggf. doch was illegales dahinter steckt.
Sorry oder ggf. auch nicht sorry 😀
Zitat von @MirkoKR:
Ich sehe da nichts über die Art der Verbindung - LAN, VPN, Remote via Port-Weiterleitung 🤪
LANIch sehe da nichts über die Art der Verbindung - LAN, VPN, Remote via Port-Weiterleitung 🤪
... muss aber wie jeder andere abwägen und den Regeln folgen, ob das beschriebene stimmt - wahrscheinlich ja - oder ggf. doch was illegales dahinter steckt.
Okay. Es steckt definitiv nichts illegales dahinter. Zudem bin ich von den beiden Dingen die mir eingefallen sind (Arduino, QR-Code Reader), selbst noch nicht überzeugt. Deshalb dient dieser Thread dazu, meine Ideen zu diskutieren und ggf. eine bessere Lösung zu finden.RDP ist für mich derzeit keine Option, trotzdem danke für den Vorschlag!
Moin,
Also wenn ihr VNC (Server- und Clientseitig) saube reingerichtet habt, geht STRG+ V ohne Probleme.
VMRC hab ich bisweilen „mal so, mal so“ erlebt.
Und bei den Scannern: welche kommen zum Einsatz? Wie oben schon erwähnt: die Zeichensätze lassen sich meistens in die Geräte rein programmieren. In der Regel haben die ein US-Charset aktiv. Unsere Datalogics kann ich via Barcode-Scans umprogrammieren…
Für Remotezugriffe würde ich ohnehin eher MSTSC oder MSRA empfehlen. Dann sollte auch C&P klappen.
Also wenn ihr VNC (Server- und Clientseitig) saube reingerichtet habt, geht STRG+ V ohne Probleme.
VMRC hab ich bisweilen „mal so, mal so“ erlebt.
Und bei den Scannern: welche kommen zum Einsatz? Wie oben schon erwähnt: die Zeichensätze lassen sich meistens in die Geräte rein programmieren. In der Regel haben die ein US-Charset aktiv. Unsere Datalogics kann ich via Barcode-Scans umprogrammieren…
Für Remotezugriffe würde ich ohnehin eher MSTSC oder MSRA empfehlen. Dann sollte auch C&P klappen.
Mal ein ganz anderer Ansatz:
Warum verwendet Ihr überhaupt die LAPS Kennwörter? Wir haben auch LAPS im Einsatz, nutzen das Kennwort aber quasi nie.
Jeder Admin hat auch eine entsprechende Adminkennung, die nur ihm/ihr bekannt und dann sich mit dieser an entsprechenden Clients (je nach Rechten durch GPO gesteuert) administrativ anmelden kann. Das ist 1. unabhängig von der Verbindungsmethode und 2. spart komplexe Kennwörter für Menschen. 3. Macht das auch Logins nachvollziehbar im Fall von Sabotage etc.
Die zweite frage zu der ich oben keine Informationen gesehen habe, warum nutzt Ihr überhaupt VNC oder VMware was beides doch sehr unhandlich ist? Was spricht gegen z.B. RDP?
Insbesondere wenn Ihr smart Cards nutzt, scheint es ja einen eher höheren Sicherheitsstandard zu geben, den Ihr dann direkt wieder über Bord werft?
Edit: Ich wollte als weitere Idee noch schreiben, KeePass kann Kennwörter automatisch in beliebige Fenster einfügen, Suchbegriff dazu ist: KeePass Autotype.
Warum verwendet Ihr überhaupt die LAPS Kennwörter? Wir haben auch LAPS im Einsatz, nutzen das Kennwort aber quasi nie.
Jeder Admin hat auch eine entsprechende Adminkennung, die nur ihm/ihr bekannt und dann sich mit dieser an entsprechenden Clients (je nach Rechten durch GPO gesteuert) administrativ anmelden kann. Das ist 1. unabhängig von der Verbindungsmethode und 2. spart komplexe Kennwörter für Menschen. 3. Macht das auch Logins nachvollziehbar im Fall von Sabotage etc.
Die zweite frage zu der ich oben keine Informationen gesehen habe, warum nutzt Ihr überhaupt VNC oder VMware was beides doch sehr unhandlich ist? Was spricht gegen z.B. RDP?
Insbesondere wenn Ihr smart Cards nutzt, scheint es ja einen eher höheren Sicherheitsstandard zu geben, den Ihr dann direkt wieder über Bord werft?
Edit: Ich wollte als weitere Idee noch schreiben, KeePass kann Kennwörter automatisch in beliebige Fenster einfügen, Suchbegriff dazu ist: KeePass Autotype.
Moin,
Es gilt grundsätzlich Sicherheit ist unbequem.. Es wird schon seinen Grund haben, warum ihr lange Passwörter habt und es hat schon seinen Grund, warum kein einfaches C&P remote nicht geht.
Ich würde daher sagen, works as designed und würde jedem, der das aus Bequemlichkeit aufweichen will mit Cat9, dem LART, nicht dem Kabelstandard, die Leviten lesen.
lks
Nachtrag: Wäre natürlich zu klären, welche Gründe es gibt, kein RDP zu nutzen, was das ganze ja deutlich vereinfachen würde und ob diese schwerer wiegen als die unbequemlichkeit, lange Passwörter abtippen zu müssen.
Es gilt grundsätzlich Sicherheit ist unbequem.. Es wird schon seinen Grund haben, warum ihr lange Passwörter habt und es hat schon seinen Grund, warum kein einfaches C&P remote nicht geht.
Ich würde daher sagen, works as designed und würde jedem, der das aus Bequemlichkeit aufweichen will mit Cat9, dem LART, nicht dem Kabelstandard, die Leviten lesen.
lks
Nachtrag: Wäre natürlich zu klären, welche Gründe es gibt, kein RDP zu nutzen, was das ganze ja deutlich vereinfachen würde und ob diese schwerer wiegen als die unbequemlichkeit, lange Passwörter abtippen zu müssen.
1
Moin,
Bedeutet dass, wenn einer dieser Accounts geknackt wird, hat der Angreifer Zugriff auf alle PCs? Da liegt nämlich u.A. der Sicherheitsgewinn von LAPS, dass soetwas eben nicht passieren kann. Außerdem besteht dann die Gefahr, dass mittels z.B. Mimikatz der NTLM-Hash dieses Kontos extrahiert wird und sich ein lokaler Angreifer somit Zugriff auf dein Adminkonto holt. Wenn dieses nun auch z.B. Domänenadministrator ist, gute Nacht
weiter oben:
Jeder Admin hat auch eine entsprechende Adminkennung, die nur ihm/ihr bekannt und dann sich mit dieser an entsprechenden Clients (je nach Rechten durch GPO gesteuert) administrativ anmelden kann. Das ist 1. unabhängig von der Verbindungsmethode und 2. spart komplexe Kennwörter für Menschen. 3. Macht das auch Logins nachvollziehbar im Fall von Sabotage etc.
Bedeutet dass, wenn einer dieser Accounts geknackt wird, hat der Angreifer Zugriff auf alle PCs? Da liegt nämlich u.A. der Sicherheitsgewinn von LAPS, dass soetwas eben nicht passieren kann. Außerdem besteht dann die Gefahr, dass mittels z.B. Mimikatz der NTLM-Hash dieses Kontos extrahiert wird und sich ein lokaler Angreifer somit Zugriff auf dein Adminkonto holt. Wenn dieses nun auch z.B. Domänenadministrator ist, gute Nacht
Edit: Ich wollte als weitere Idee noch schreiben, KeePass kann Kennwörter automatisch in beliebige Fenster einfügen, Suchbegriff dazu ist: KeePass Autotype.
weiter oben:
Ich habe gerade auch nochmal testweise die Auto-Type Funktion von KeePassXC getestet. Auch das funktioniert nicht, da es keine "echten" Tastatureingaben sind.
1
Eine große Diskussion muss ja erst entstehen, wenn auch wirklich ein großes Thema vorliegt.
Hier ist Thema: wie supporte ich Windowsclients unter den Randbedingungen, dass LAPS-Kennwörter verwendet werden sollen und RDP nicht verwendet werden soll.
Mit diesen Randbedingungen machst Du es Dir schwer, ich hoffe, das ist bewusst. RDP könnte wunderbar mit einem Konto, das lediglich auf dem Zielsystem Adminrechte hat, gestartet werden und baut dann eine Sitzung auf, die per SSO am Ziel ohne Weiteres startet. Die Credentials könnten per Remote Credential Guard sogar vom Zielsystem ferngehalten werden.
Nimmt man kein RDP hat man natürlich diese Goodies nicht und baut etwas unsicheres und zudem noch umständlicheres.
Warum also kein RDP? Mach das doch erst einmal klar, vielleicht hat das ja Gründe, die man beseitigen kann, wenn man etwas umdenkt.
Hier ist Thema: wie supporte ich Windowsclients unter den Randbedingungen, dass LAPS-Kennwörter verwendet werden sollen und RDP nicht verwendet werden soll.
Mit diesen Randbedingungen machst Du es Dir schwer, ich hoffe, das ist bewusst. RDP könnte wunderbar mit einem Konto, das lediglich auf dem Zielsystem Adminrechte hat, gestartet werden und baut dann eine Sitzung auf, die per SSO am Ziel ohne Weiteres startet. Die Credentials könnten per Remote Credential Guard sogar vom Zielsystem ferngehalten werden.
Nimmt man kein RDP hat man natürlich diese Goodies nicht und baut etwas unsicheres und zudem noch umständlicheres.
Warum also kein RDP? Mach das doch erst einmal klar, vielleicht hat das ja Gründe, die man beseitigen kann, wenn man etwas umdenkt.
2Zitat von @DerWoWusste:
Warum also kein RDP? Mach das doch erst einmal klar, vielleicht hat das ja Gründe, die man beseitigen kann, wenn man etwas umdenkt.
Warum also kein RDP? Mach das doch erst einmal klar, vielleicht hat das ja Gründe, die man beseitigen kann, wenn man etwas umdenkt.
Vielen Dank für den Input. Es scheint Konsens zu sein, dass zumindest im Bereich der Serveradministration RDP die beste Möglichkeit darstellt.
Dann wird vermutlich die beste Lösung sein, dass wir weiter daran arbeiten unsere RDS Farm mit Jump Hosts inkl. Tiering Konzept weiter voranzubringen. Das ganze natürlich mit personalisierten Admin Accounts.
Das ganze natürlich mit personalisierten Admin Accounts.
Das würde ich nicht empfehlen. Wenn die persönlichen Adminkonten der Supporter auf mehreren Clients Adminrechte haben, ist das schon kritisch zu sehen. Besser so: erstelle pro Client ein Domänenkonto, welches auf nur diesem Client Adminrechte hat. Gib den personalisiertehn Admins das recht, dieses Konto zu aktivieren und ein Kennwort zu setzen. Logge dann mit, wer die Konten aktiviert hat.PS: LAPS ist eh Käse vom Konzept, da man mit lokalen Admins nicht auf Domänenressourcen kommt. Besser: Sicherer Umgang mit Supportkonten
1Zitat von @DerWoWusste:
Ich habe von Servern gesprochen. Wenn ich bspw. für meinen T1 Account eine Smartcard habe, welche per Flag im Benutzer erzwungen wird, sollte das schon sehr sicher sein. Ich muss ja meine Smartcard (Yubikey) stecken und dann noch die entsprechende PIV PIN eingeben. Ich kann ja nicht für jeden Server einen eigenen Yubikey haben ;)Das ganze natürlich mit personalisierten Admin Accounts.
Das würde ich nicht empfehlen. Wenn die persönlichen Adminkonten der Supporter auf mehreren Clients Adminrechte haben, ist das schon kritisch zu sehen. Besser so: erstelle pro Client ein Domänenkonto, welches auf nur diesem Client Adminrechte hat. Gib den personalisiertehn Admins das recht, dieses Konto zu aktivieren und ein Kennwort zu setzen. Logge dann mit, wer die Konten aktiviert hat.PS: LAPS ist eh Käse vom Konzept, da man mit lokalen Admins nicht auf Domänenressourcen kommt. Besser: Sicherer Umgang mit Supportkonten
Um eine einfache Software zu installieren, welche bspw. nicht in der Softwareverteilung hinterlegt ist, kann man das schon ganz gut nutzen.Ich muss ja meine Smartcard (Yubikey) stecken und dann noch die entsprechende PIV PIN eingeben.
Das macht das Problem nicht ausreichend wett. Hat sich jemand Adminrechte auf Server 1 verschafft, greift er die credentials dieses Users ab, egal, ob SmafrtCard, oder nicht und geht damit auf andere Server wo dieser Nutzer Adminrechte hat. Das funktioniert zumindest mal so lange, wie das Kerberos-Ticket lebt.Besser wäre, das PIV-Konto zu berechtigen, andere Admins zu aktivieren - so machen wir's.
Um eine einfache Software zu installieren, welche bspw. nicht in der Softwareverteilung hinterlegt ist, kann man das schon ganz gut nutzen.
Sobald man das Setup im Netzwerk hat, aber mit dem lokalen Adminkonto nicht auf Netzwerkressourcen rauf kommt, fängt man wieder an, sich unsichere Brücken zu bauen oder Krücken zu nutzen, wie z.B. das Setup per RDP-Zwischenablage abzuladen (was nicht immer funktioniert, langsam ist und zudem landen dann die Quellen lokal, was schlechte praxis ist). LAPS ist ein typisches Microsoft Nichtkonzept.2
Wenn es das denn nun war als Lösung bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
Zitat von @aqui:
Wenn es das denn nun war als Lösung bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wenn es das denn nun war als Lösung bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Gibt ja keine Lösung. Es ist zwar eine Diskussion entstanden, aber die Frage wurde nicht beantwortet/gelöst.
cu
