Zwischengespeicherte Credentials finden und entfernen
Servus!
Ich möchte gerne prüfen ob und welche zwischengespeicherten Credentials auf meinen Windows Servern(n) (Memberserver und Domainen-Controller) vorhanden sind.
Gibt es ausser CMDKEY und Anmeldeinformationsverwaltung noch Orte wo man schauen kann/muss?
Es wurde früher öfters mal ein Domain-Admin Konto verwendet um auf Member Servern einzuloggen, ich würde das gerne bereinigen ...
Welche Schritte sind sinnvoll und wie kann man Einträge am besten entfernen?
Danke!
Tom
Ich möchte gerne prüfen ob und welche zwischengespeicherten Credentials auf meinen Windows Servern(n) (Memberserver und Domainen-Controller) vorhanden sind.
Gibt es ausser CMDKEY und Anmeldeinformationsverwaltung noch Orte wo man schauen kann/muss?
Es wurde früher öfters mal ein Domain-Admin Konto verwendet um auf Member Servern einzuloggen, ich würde das gerne bereinigen ...
Welche Schritte sind sinnvoll und wie kann man Einträge am besten entfernen?
Danke!
Tom
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 84149152158
Url: https://administrator.de/contentid/84149152158
Ausgedruckt am: 13.11.2024 um 08:11 Uhr
3 Kommentare
Neuester Kommentar
Taskplaner.
Get-ScheduledTask | ?{$_.Principal.UserId -like "*MEINADMIN*"} | out-gridview
Moin.
Dann verbiete die Anmeldung an Memberservern (und Clients) für Domadmins generell
Dann pack die Domadmins in die Domänengruppe "Protected users" - so wird für sie keine NTLM-Ticker mehr ausgestellt und die Kerberos-Ticket-Laufzeit (nur für sie) auf 4 Std. verkürzt. Nebenwirkungen für das Arbeiten auf DCs sind vernachlässigbar.
Dann bereinige die Tasks (Umstieg auf andere konten) und die Anmeldeinfoverwaltung (letzteres mit cmdkey)
Am besten auch für Domadfmins 2FA fordern über SmartCards (virtuelle oder reale SmartCards).
Es wurde früher öfters mal ein Domain-Admin Konto verwendet um auf Member Servern einzuloggen, ich würde das gerne bereinigen
Wenn Du die Cached Credentials, welche bei der Anmeldung selbst angelegt werden, weghauen willst, dann stelle ein, dass maximal 1 gecached werden darf und melde dich nachdem das aktiv ist, dort mit deinem Memberserveradmin an - der Domadmin fliegt dann raus.Dann verbiete die Anmeldung an Memberservern (und Clients) für Domadmins generell
Dann pack die Domadmins in die Domänengruppe "Protected users" - so wird für sie keine NTLM-Ticker mehr ausgestellt und die Kerberos-Ticket-Laufzeit (nur für sie) auf 4 Std. verkürzt. Nebenwirkungen für das Arbeiten auf DCs sind vernachlässigbar.
Dann bereinige die Tasks (Umstieg auf andere konten) und die Anmeldeinfoverwaltung (letzteres mit cmdkey)
Am besten auch für Domadfmins 2FA fordern über SmartCards (virtuelle oder reale SmartCards).