Jordy

Hallo da draußen! Ich suche eine Möglichkeit, freigegebene Windowsverzeichnisse für Domänenbenutzer automatisch anzulegen. Das soll folgendermaßen aussehen: Jeder kennt ja die Möglichkeit beim Anlegen eines ADS-Users autoamtisch ein freigegebenes Homeverzeichnis erzeugen zu lassen, auf das der Benutzer exklusiven Zugriff hat. Ich würde gerne auf ähnliche Weise für jeden neuen Benutzer ein weiteres Verzeichnis erzeugen lassen, das ebenfalls automatisch freigegeben wird und auf das der Benutzer exklusiven Schreibzugriff hat und auf das alle Benutzer einer bestimmten Gruppe lesenden Zugriff haben. Ich denke es würde reichen, wenn ich wüßte, wie man beim Anlegen eines Benutzers ein Skript ausführen kann. Hinter die einzelnen Anweisungen käme ich dann schon :-)

Ok. Letztendlich bleibt als Hauptrisikio also wirklich das lokale Knacken des Passwortes. Und dazu gab es ja den Richtwert von 3000000 Proben/s, der mir auch realistisch erscheint. Damit habe ich meine Frage eigentlich geklärt und wieder einiges gelernt :-) Den Kerberos Artikel werde ich mir auch mal anschauen. Danke an Alle!

Ja, ist interessant. Ich versuche nachzuweisen, warum bestimmte Passwortrichtlinien notwendig sind. Im Falle der Sonderzeichen ist das kein Problem (also ganz allgemein was den Zeichensatz anbetrifft). Der Effekt ist rechnerisch leicht nachzuweisen. Was mir halt Probleme macht, ist das Zusammenspiel aus Passwortlänge und max. Passwortalter. Wenn 7 Zeichen mit 66 Tagen (bei vollem Zeichensatz) korellieren, wären es 8 Zeichen mit 4092 Tagen. Das wäre natürlich schon eine sehr gute Info. grizzly999: Du hast geschrieben es sei immer ein lokales Austesten gemeint. Ich meine, mir ist klar, daß unter Windows eine Kerberosanmeldung abläuft. Eine solche Anmeldung muß irgendeinen Schlüssel austauschen, der vom Server überprüft wird. Wenn also ein Angreifer diesen Hash abfängt, kann er ihn lokal austesten. Wenn ich den Artikel richtig verstanden habe, kann man mit einem Hash auch das Passwort erraten. Das ist kein Problem. Der Artikel sagt ja eindeutig daß bis zu 3000000 Passwörter pro Sekunde mit einem geklauten Hash abgeglichen werden können. Das reicht mir als Info, genauer brauche ich es da nicht. Offensichtlich kann man mit einem Hash ja aber auch schon Zugriff erlangen, ohne das Passwort zu knacken. Muß er erst das Passwort zu dem Hash finden, um Zugriff auf das Konto des ausgespähten Opfers zu bekommen? Ich hoffe nicht daß er mit dem Hash schon Vollzugriff hat?! Bzw. hat er mit dem Hash alleine tatsächlich "nur" 600 Min. lang vollen Zugriff? Da ihr mir die vorigen Fragen vielleicht nicht beantworten dürft (Boardregeln), scheint mir dann der entscheidende Punkt zu sein: Wie lange braucht ein Angreifer um mit Hilfe eines Hashes Zugriff zu bekommen? Leider habe ich den Hashmechanismus nicht richtig verstanden und tiefer darf ich nicht bohren, ohne die Boardrichtlinien zu verletzen :-) Dann bleibt aber noch die Frage: Wie siehts tatsächlich mit automatisierter Anmeldung aus? In dem Artikel wird ein Beispiel gebracht, aber ohne jegliche Hintergründe. Ist das Austesten wirklich so langsam? P.S.: Sorry daß ich mich erst jetzt melde. War nicht ganz auf dem Damm.

Hallo allerseits! Ich habe ein Anliegen bezüglich Passwortsicherheit. Ich muß nachweisen, wie lange ein Hacker statistisch brauchen würde, um mit Brute-Force an ein ideales Benutzerpasswort eines Domänenbenutzer zu kommen (also im Idealfall die letzte Kombination die er testet). Als Richtlinie gelten 7-zeichen lange Passwörter mit einem Zeichenschatz von 62 verschiedenen Zwichen (groß, klein, Sonderzeichen, Zahlen). Ich habe mich auch schon auf diversen Seiten zum Thema Brute-froce Attacken umgesehen. Leider schweigen sich die meisten Seiten über die Hintergründe ihrer Empfehlungen aus. Insebesondere eine Frage wird nirgends schlüssig beleuchtet: Wieviele Kombinationen kann ein Angreifer (mit einem aktuellen PC) pro Sekunde überhaupt testen? Ich habe oft Schätzungen von 500 000 Proben pro Sekunde und mehr gelesen, halte das aber (zumindest per 100MBit Ethernet) für unmöglich. Vermutlich sind damit große Server gemeint. Ich bin mir auch nicht sicher, ob eine Brute-Force Passwort-Attacke immer in Form von Millionen Proben übers Netzwerk laufen muß, oder ob ein durchschnittlicher Angreiffer keine Möglichkeiten hat, eine Suche (vielleicht anhand von mitgeschnittenen Benutzeranmeldungen) sowas nicht auf dem lokalen Rechner laufen lassen könnte... was natürlich sehr viel schneller ablaufen könnte.

Das paßt richtig gut zu der Erkältung die ich grade habe. Bah. :( Aber um nochmal auf die Platte zu kommen... gibt es ein vernünftiges Analyse-Tool, das solche Defekte tiefer prüfen kann? Checkdisk ist analytisch ja wirklich nicht sehr ergiebig... wenn ich es auch vermutlich mal im nicht-schreibgeschützten Modus über die Platte laufen lassen werde, um an Daten zu retten was zu retten ist. Bevor ich das tue, wäre aber eventuell eine Programm sinvoll, daß die defekten Blöcke findet und eine Art Streßtest der defekten Blöcke durch wiederholtes Beschreiben und Lesen vornimmt. Ich weiß daß es von den Herstellern teilweise Analysetools gibt, aber ich suche schon lange eines, das etwas universeller ist, verschiedene Festplattenmarken unterstützt und bei dem man nicht von Diskette booten muß, wie es z.B. das Maxtor-Tool verlangt. Immerhin ist das ein Server. Den kann ich nur sehr schlecht runterfahren um die Platte stundenlang durchnudeln zu lassen und ausbauen möchjte ich die Platte auch erst, wenn ich mir sicher bin, daß sie tatsächlich im Eimer ist. Irgendeinen Tipp?

Achja, habe ich vergessen. Im Eventlog habe ich tatsächlich was gefunden. Event-Quelle "Disk", Event-ID "7", "Fehlerhafter Block bei Gerät \Device\Harddisk0\. Asche auf mein Haupt, bin garnicht auf die Idee gekommen, bei so einem Problem ins Eventlog zu schauen. Da ist wohl ein Hardwaredefekt anzunehmen, oder kann es auch noch andere Ursachen geben?

Kabel habe ich schon festgedrückt, so einfach scheint es nicht zu sein. Ich habe auch mal Checkdisk drüber laufen lassen. es kommen gut jede Mange Meldungen "Datensatzsegment xxxx der Datei kann nicht gelesen werden." Ich könnte jetzt natürlich die Platte formatieren und hoffen daß sie wieder funktioniert, oder sie einfach tauschen, aber so lange ich die Ursache nicht kenne kann sowohl bei einem Plattentausch als auch bei einer Formatierung das Problem jederzeit weider auftreten

Hallo allerseits! Ich habe hier ein sehr merkwürdiges Problem, bei dem ich dringend Hilfe bräuchte. Unser kleiner Win2003 Server besitzt mehrer Festplatten. Neben einem RAID5 System für alles Sensible, hat er auch eine eigene 250GB IDE Platte mit Transferverzeichnissen. Da die Daten auf dieser Platte nicht wirklich sensibel sind, ist eine Redundanz nicht notwendig. Das hat auch alles mal funktioniert. Der Server ist neu, und nur wenige Woche alt. Das selbe gilt für die Festplatte. Auf dem Laufwerk exisitert ein freigegebenes Verzeichnis mit Unterverzeichnissen für jeden Benutzer. Seit heute sind drei der Unterverzeichnisse nicht mehr richtig zugreifbar. Mit den Rechten scheint es nichts zu tun zu haben (sind unverändert ok) dafür bietet Windows bei einem Zugriff auf die betroffenen Unterverzeichnisse an, die ganze Festplatte zu formatieren ("Der Datenträger in Laufwerk G: ist nicht zugreifbar. wollen sie ihn formatieren?") :suspect: Das sieht aus wie ein Hardwaredefekt, scheint mir bei einer fast neuen Festplatte aber recht unwahrscheinlich. Außerdem irritiert mich die Sache mit dem Formatieren schon sehr. Hat jemand eine Idee? Danke!