Jump to content

Domäne zerstört - was passiert mit Clients?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Mir geht es im Beispiel lediglich darum die Höhe des möglichen Schadens abzuschätzen, technische Antworten (Restore, Kennwörter knacken, etc.) sind uninteressant.

 

Die Passwörter für die Admin-Konten des einzigen DC kennt niemand mehr, Backups sind total veraltet. Er soll neu installiert werden. Damit gehen natürlich alle SIDs und Computerkonten verloren. Was passiert mit den Clients?

 

These 1: Wenn man an den Clients keine lokalen Konten mit Adminrechten kennt/hat kann man weder den Computer aus der alten Domäne entfernen, noch kann man ihn zu einer neuen Domäne hinzufügen, weil man keine Berechtigung hat. Solche Rechner müssten also zwangsweise neu installiert werden.

 

These 2: Hat man lokale Adminkennwörter an Clients, so kann man sich zumindest lokal anmelden und so den Rechner aus der alten Domäne entfernen und zu ein erneuen hinzufügen. Eine Neuinstallation entfällt.

 

Richtig oder falsch? Falls falsch wie ist es richtig?

 

BTW: Wie sichert man einen 2003er DC gegen Diebstahl ab? Es soll für einen Angreifer keine Möglichkeit geben Kennwörter von Domänen-Admins herausfinden oder zurücksetzen können. Möglich oder nicht?

Link zu diesem Kommentar

Servus,

 

Richtig oder falsch?

 

korrekt.

 

 

BTW: Wie sichert man einen 2003er DC gegen Diebstahl ab?

 

Einen Windows Server 2003 DC sichert man idealerweise in einem abschließbaren Raum.

Dieser sollte natürlich belüftet und klimatisiert sein.

 

Das ist auch der Hauptgrund, warum es den RODC in Windows Server 2008 gibt.

Damit ist das Thema Diebstahl eines RODC entschärft.

 

Yusuf`s Directory - Blog - Read-Only Domain Controller (RODC)

 

 

Es soll für einen Angreifer keine Möglichkeit geben Kennwörter von Domänen-Admins herausfinden oder zurücksetzen können. Möglich oder nicht?

 

Die Sicherheit des Netzwerks beinhaltet weit aus mehr, dass man nicht hier in einem Forum alles durchkauen könnte. Fakt ist, schafft es der Angreifer einen DC zu kompromittieren, dann gehört ihm die Gesamtstruktur.

Link zu diesem Kommentar
Die Sicherheit des Netzwerks beinhaltet weit aus mehr, dass man nicht hier in einem Forum alles durchkauen könnte. Fakt ist, schafft es der Angreifer einen DC zu kompromittieren, dann gehört ihm die Gesamtstruktur.

 

Das heißt man könnte auch das Kennwort des Domänen-Admins herausfinden? Dann bräuchte man den DC doch gar nicht neu zu installieren, sollte niemand mehr die Admin-Kennwörter kennen.

Link zu diesem Kommentar
Nein, aber es gibt Software, um es zu ändern.

 

Man kann das Passwort ändern, aber nicht auslesen. Gut.

 

Ein Passwort brutal zu ändern heißt aber auch, dass danach ein vom User angelegter EFS-verschlüsselter Ordner NIE mehr zu entschlüsseln ist, wenn dieses Zertifikat (ich kenn mich da nicht wirklich aus, aber da war doch was mit einem Zertifikat und EFS) nirgends gesichert wurde. Richtig oder falsch?

Link zu diesem Kommentar
Ich will nicht wissen wie man Passwörter knackt, sondern inwieweit man es verhindern kann bzw. wenn ein Angreifer es doch geschafft hat das Passwort zurückzusetzen, dass er dann trotzdem keine Daten verwenden kann (EFS). Hat doch wohl nix mit der Rule #8 zu tun!

 

Er kann die Daten dann nicht auslesen, durch ein gewaltsames zurücksetzten der Passwörter geht EFS "kaputt"

 

In dem Fall würde nur noch ein vorher eingerichteter EFS Recovery Agent nebst zugehörigem Passwort und vorher exportiertem Zertifikat helfen. Ohne Cert tut es aus ein lokaler administrativer User nebst PW. Aber das fällt hier wieder unter #8!

 

subby

Link zu diesem Kommentar
Er kann die Daten dann nicht auslesen, durch ein gewaltsames zurücksetzten der Passwörter geht EFS "kaputt"

 

Gut! Wirklich gut!

 

In dem Fall würde nur noch ein vorher eingerichteter EFS Recovery Agent nebst zugehörigem Passwort und vorher exportiertem Zertifikat helfen. Ohne Cert tut es aus ein lokaler administrativer User nebst PW.

 

Lokale Konten gibt es am DC aber nicht, also könnte ich somit eine gewisse Grundsicherung eines DC erreichen.

 

Danke.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...