telser
Goto Top

Zwischengespeicherte Credentials finden und entfernen

Servus!

Ich möchte gerne prüfen ob und welche zwischengespeicherten Credentials auf meinen Windows Servern(n) (Memberserver und Domainen-Controller) vorhanden sind.

Gibt es ausser CMDKEY und Anmeldeinformationsverwaltung noch Orte wo man schauen kann/muss?

Es wurde früher öfters mal ein Domain-Admin Konto verwendet um auf Member Servern einzuloggen, ich würde das gerne bereinigen ...

Welche Schritte sind sinnvoll und wie kann man Einträge am besten entfernen?

Danke!

Tom

Content-ID: 84149152158

Url: https://administrator.de/contentid/84149152158

Ausgedruckt am: 13.11.2024 um 08:11 Uhr

11078840001
Lösung 11078840001 06.03.2024 aktualisiert um 11:04:27 Uhr
Goto Top
Taskplaner.
Get-ScheduledTask | ?{$_.Principal.UserId -like "*MEINADMIN*"} | out-gridview  
DerWoWusste
Lösung DerWoWusste 06.03.2024 aktualisiert um 12:37:33 Uhr
Goto Top
Moin.

Es wurde früher öfters mal ein Domain-Admin Konto verwendet um auf Member Servern einzuloggen, ich würde das gerne bereinigen
Wenn Du die Cached Credentials, welche bei der Anmeldung selbst angelegt werden, weghauen willst, dann stelle ein, dass maximal 1 gecached werden darf und melde dich nachdem das aktiv ist, dort mit deinem Memberserveradmin an - der Domadmin fliegt dann raus.

Dann verbiete die Anmeldung an Memberservern (und Clients) für Domadmins generell
Dann pack die Domadmins in die Domänengruppe "Protected users" - so wird für sie keine NTLM-Ticker mehr ausgestellt und die Kerberos-Ticket-Laufzeit (nur für sie) auf 4 Std. verkürzt. Nebenwirkungen für das Arbeiten auf DCs sind vernachlässigbar.

Dann bereinige die Tasks (Umstieg auf andere konten) und die Anmeldeinfoverwaltung (letzteres mit cmdkey)
Am besten auch für Domadfmins 2FA fordern über SmartCards (virtuelle oder reale SmartCards).
telser
telser 09.03.2024 um 13:22:58 Uhr
Goto Top
Ich danke Euch!