Jump to content
Sign in to follow this  
Muffel

Domäne zerstört - was passiert mit Clients?

Recommended Posts

Mir geht es im Beispiel lediglich darum die Höhe des möglichen Schadens abzuschätzen, technische Antworten (Restore, Kennwörter knacken, etc.) sind uninteressant.

 

Die Passwörter für die Admin-Konten des einzigen DC kennt niemand mehr, Backups sind total veraltet. Er soll neu installiert werden. Damit gehen natürlich alle SIDs und Computerkonten verloren. Was passiert mit den Clients?

 

These 1: Wenn man an den Clients keine lokalen Konten mit Adminrechten kennt/hat kann man weder den Computer aus der alten Domäne entfernen, noch kann man ihn zu einer neuen Domäne hinzufügen, weil man keine Berechtigung hat. Solche Rechner müssten also zwangsweise neu installiert werden.

 

These 2: Hat man lokale Adminkennwörter an Clients, so kann man sich zumindest lokal anmelden und so den Rechner aus der alten Domäne entfernen und zu ein erneuen hinzufügen. Eine Neuinstallation entfällt.

 

Richtig oder falsch? Falls falsch wie ist es richtig?

 

BTW: Wie sichert man einen 2003er DC gegen Diebstahl ab? Es soll für einen Angreifer keine Möglichkeit geben Kennwörter von Domänen-Admins herausfinden oder zurücksetzen können. Möglich oder nicht?

Share this post


Link to post
Share on other sites

Servus,

 

Richtig oder falsch?

 

korrekt.

 

 

BTW: Wie sichert man einen 2003er DC gegen Diebstahl ab?

 

Einen Windows Server 2003 DC sichert man idealerweise in einem abschließbaren Raum.

Dieser sollte natürlich belüftet und klimatisiert sein.

 

Das ist auch der Hauptgrund, warum es den RODC in Windows Server 2008 gibt.

Damit ist das Thema Diebstahl eines RODC entschärft.

 

Yusuf`s Directory - Blog - Read-Only Domain Controller (RODC)

 

 

Es soll für einen Angreifer keine Möglichkeit geben Kennwörter von Domänen-Admins herausfinden oder zurücksetzen können. Möglich oder nicht?

 

Die Sicherheit des Netzwerks beinhaltet weit aus mehr, dass man nicht hier in einem Forum alles durchkauen könnte. Fakt ist, schafft es der Angreifer einen DC zu kompromittieren, dann gehört ihm die Gesamtstruktur.

Share this post


Link to post
Share on other sites
Die Sicherheit des Netzwerks beinhaltet weit aus mehr, dass man nicht hier in einem Forum alles durchkauen könnte. Fakt ist, schafft es der Angreifer einen DC zu kompromittieren, dann gehört ihm die Gesamtstruktur.

 

Das heißt man könnte auch das Kennwort des Domänen-Admins herausfinden? Dann bräuchte man den DC doch gar nicht neu zu installieren, sollte niemand mehr die Admin-Kennwörter kennen.

Share this post


Link to post
Share on other sites
Dann bräuchte man den DC doch gar nicht neu zu installieren, sollte niemand mehr die Admin-Kennwörter kennen.

 

Du hattest in deinem OP doch geschrieben:

 

...technische Antworten (Restore, Kennwörter knacken, etc.) sind uninteressant.

 

 

Also? Somit wären deine Fragen beantwortet.

Share this post


Link to post
Share on other sites

Hallo,

 

ich würde bei den Clients die Netzwerkverbindung unterbrechen, mit etwas Glück ist das Domänen-Admin Passwort noch im Cache und man kann sich anmelden.

 

Mfg

Share this post


Link to post
Share on other sites
Nein, aber es gibt Software, um es zu ändern.

 

Man kann das Passwort ändern, aber nicht auslesen. Gut.

 

Ein Passwort brutal zu ändern heißt aber auch, dass danach ein vom User angelegter EFS-verschlüsselter Ordner NIE mehr zu entschlüsseln ist, wenn dieses Zertifikat (ich kenn mich da nicht wirklich aus, aber da war doch was mit einem Zertifikat und EFS) nirgends gesichert wurde. Richtig oder falsch?

Share this post


Link to post
Share on other sites

Ich will nicht wissen wie man Passwörter knackt, sondern inwieweit man es verhindern kann bzw. wenn ein Angreifer es doch geschafft hat das Passwort zurückzusetzen, dass er dann trotzdem keine Daten verwenden kann (EFS). Hat doch wohl nix mit der Rule #8 zu tun!

Share this post


Link to post
Share on other sites
Ich will nicht wissen wie man Passwörter knackt, sondern inwieweit man es verhindern kann bzw. wenn ein Angreifer es doch geschafft hat das Passwort zurückzusetzen, dass er dann trotzdem keine Daten verwenden kann (EFS). Hat doch wohl nix mit der Rule #8 zu tun!

 

Er kann die Daten dann nicht auslesen, durch ein gewaltsames zurücksetzten der Passwörter geht EFS "kaputt"

 

In dem Fall würde nur noch ein vorher eingerichteter EFS Recovery Agent nebst zugehörigem Passwort und vorher exportiertem Zertifikat helfen. Ohne Cert tut es aus ein lokaler administrativer User nebst PW. Aber das fällt hier wieder unter #8!

 

subby

Share this post


Link to post
Share on other sites
Er kann die Daten dann nicht auslesen, durch ein gewaltsames zurücksetzten der Passwörter geht EFS "kaputt"

 

Gut! Wirklich gut!

 

In dem Fall würde nur noch ein vorher eingerichteter EFS Recovery Agent nebst zugehörigem Passwort und vorher exportiertem Zertifikat helfen. Ohne Cert tut es aus ein lokaler administrativer User nebst PW.

 

Lokale Konten gibt es am DC aber nicht, also könnte ich somit eine gewisse Grundsicherung eines DC erreichen.

 

Danke.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...