Jump to content

Domäne zerstört - was passiert mit Clients?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Mir geht es im Beispiel lediglich darum die Höhe des möglichen Schadens abzuschätzen, technische Antworten (Restore, Kennwörter knacken, etc.) sind uninteressant.

 

Die Passwörter für die Admin-Konten des einzigen DC kennt niemand mehr, Backups sind total veraltet. Er soll neu installiert werden. Damit gehen natürlich alle SIDs und Computerkonten verloren. Was passiert mit den Clients?

 

These 1: Wenn man an den Clients keine lokalen Konten mit Adminrechten kennt/hat kann man weder den Computer aus der alten Domäne entfernen, noch kann man ihn zu einer neuen Domäne hinzufügen, weil man keine Berechtigung hat. Solche Rechner müssten also zwangsweise neu installiert werden.

 

These 2: Hat man lokale Adminkennwörter an Clients, so kann man sich zumindest lokal anmelden und so den Rechner aus der alten Domäne entfernen und zu ein erneuen hinzufügen. Eine Neuinstallation entfällt.

 

Richtig oder falsch? Falls falsch wie ist es richtig?

 

BTW: Wie sichert man einen 2003er DC gegen Diebstahl ab? Es soll für einen Angreifer keine Möglichkeit geben Kennwörter von Domänen-Admins herausfinden oder zurücksetzen können. Möglich oder nicht?

Link to post

Servus,

 

Richtig oder falsch?

 

korrekt.

 

 

BTW: Wie sichert man einen 2003er DC gegen Diebstahl ab?

 

Einen Windows Server 2003 DC sichert man idealerweise in einem abschließbaren Raum.

Dieser sollte natürlich belüftet und klimatisiert sein.

 

Das ist auch der Hauptgrund, warum es den RODC in Windows Server 2008 gibt.

Damit ist das Thema Diebstahl eines RODC entschärft.

 

Yusuf`s Directory - Blog - Read-Only Domain Controller (RODC)

 

 

Es soll für einen Angreifer keine Möglichkeit geben Kennwörter von Domänen-Admins herausfinden oder zurücksetzen können. Möglich oder nicht?

 

Die Sicherheit des Netzwerks beinhaltet weit aus mehr, dass man nicht hier in einem Forum alles durchkauen könnte. Fakt ist, schafft es der Angreifer einen DC zu kompromittieren, dann gehört ihm die Gesamtstruktur.

Link to post
Die Sicherheit des Netzwerks beinhaltet weit aus mehr, dass man nicht hier in einem Forum alles durchkauen könnte. Fakt ist, schafft es der Angreifer einen DC zu kompromittieren, dann gehört ihm die Gesamtstruktur.

 

Das heißt man könnte auch das Kennwort des Domänen-Admins herausfinden? Dann bräuchte man den DC doch gar nicht neu zu installieren, sollte niemand mehr die Admin-Kennwörter kennen.

Link to post
Dann bräuchte man den DC doch gar nicht neu zu installieren, sollte niemand mehr die Admin-Kennwörter kennen.

 

Du hattest in deinem OP doch geschrieben:

 

...technische Antworten (Restore, Kennwörter knacken, etc.) sind uninteressant.

 

 

Also? Somit wären deine Fragen beantwortet.

Link to post
Nein, aber es gibt Software, um es zu ändern.

 

Man kann das Passwort ändern, aber nicht auslesen. Gut.

 

Ein Passwort brutal zu ändern heißt aber auch, dass danach ein vom User angelegter EFS-verschlüsselter Ordner NIE mehr zu entschlüsseln ist, wenn dieses Zertifikat (ich kenn mich da nicht wirklich aus, aber da war doch was mit einem Zertifikat und EFS) nirgends gesichert wurde. Richtig oder falsch?

Link to post

Ich will nicht wissen wie man Passwörter knackt, sondern inwieweit man es verhindern kann bzw. wenn ein Angreifer es doch geschafft hat das Passwort zurückzusetzen, dass er dann trotzdem keine Daten verwenden kann (EFS). Hat doch wohl nix mit der Rule #8 zu tun!

Link to post
Ich will nicht wissen wie man Passwörter knackt, sondern inwieweit man es verhindern kann bzw. wenn ein Angreifer es doch geschafft hat das Passwort zurückzusetzen, dass er dann trotzdem keine Daten verwenden kann (EFS). Hat doch wohl nix mit der Rule #8 zu tun!

 

Er kann die Daten dann nicht auslesen, durch ein gewaltsames zurücksetzten der Passwörter geht EFS "kaputt"

 

In dem Fall würde nur noch ein vorher eingerichteter EFS Recovery Agent nebst zugehörigem Passwort und vorher exportiertem Zertifikat helfen. Ohne Cert tut es aus ein lokaler administrativer User nebst PW. Aber das fällt hier wieder unter #8!

 

subby

Link to post
Er kann die Daten dann nicht auslesen, durch ein gewaltsames zurücksetzten der Passwörter geht EFS "kaputt"

 

Gut! Wirklich gut!

 

In dem Fall würde nur noch ein vorher eingerichteter EFS Recovery Agent nebst zugehörigem Passwort und vorher exportiertem Zertifikat helfen. Ohne Cert tut es aus ein lokaler administrativer User nebst PW.

 

Lokale Konten gibt es am DC aber nicht, also könnte ich somit eine gewisse Grundsicherung eines DC erreichen.

 

Danke.

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...