telser
Goto Top

Zwischengespeicherte Credentials finden und entfernen

Servus!

Ich möchte gerne prüfen ob und welche zwischengespeicherten Credentials auf meinen Windows Servern(n) (Memberserver und Domainen-Controller) vorhanden sind.

Gibt es ausser CMDKEY und Anmeldeinformationsverwaltung noch Orte wo man schauen kann/muss?

Es wurde früher öfters mal ein Domain-Admin Konto verwendet um auf Member Servern einzuloggen, ich würde das gerne bereinigen ...

Welche Schritte sind sinnvoll und wie kann man Einträge am besten entfernen?

Danke!

Tom

Content-Key: 84149152158

Url: https://administrator.de/contentid/84149152158

Printed on: June 22, 2024 at 19:06 o'clock

Mitglied: 11078840001
Solution 11078840001 Mar 06, 2024 updated at 10:04:27 (UTC)
Goto Top
Taskplaner.
Get-ScheduledTask | ?{$_.Principal.UserId -like "*MEINADMIN*"} | out-gridview  
Member: DerWoWusste
Solution DerWoWusste Mar 06, 2024 updated at 11:37:33 (UTC)
Goto Top
Moin.

Es wurde früher öfters mal ein Domain-Admin Konto verwendet um auf Member Servern einzuloggen, ich würde das gerne bereinigen
Wenn Du die Cached Credentials, welche bei der Anmeldung selbst angelegt werden, weghauen willst, dann stelle ein, dass maximal 1 gecached werden darf und melde dich nachdem das aktiv ist, dort mit deinem Memberserveradmin an - der Domadmin fliegt dann raus.

Dann verbiete die Anmeldung an Memberservern (und Clients) für Domadmins generell
Dann pack die Domadmins in die Domänengruppe "Protected users" - so wird für sie keine NTLM-Ticker mehr ausgestellt und die Kerberos-Ticket-Laufzeit (nur für sie) auf 4 Std. verkürzt. Nebenwirkungen für das Arbeiten auf DCs sind vernachlässigbar.

Dann bereinige die Tasks (Umstieg auf andere konten) und die Anmeldeinfoverwaltung (letzteres mit cmdkey)
Am besten auch für Domadfmins 2FA fordern über SmartCards (virtuelle oder reale SmartCards).
Member: telser
telser Mar 09, 2024 at 12:22:58 (UTC)
Goto Top
Ich danke Euch!