xtragood 10 Geschrieben 4. Juli 2005 Melden Teilen Geschrieben 4. Juli 2005 Morjen Leutz, ich hab mal ne Frage zu Benutzerkonten in einem W2K3-AD. Es gibt dort unter Kartenreiter "Konto" ein paar einstellbare Optionen zum Thema Verschlüsselung des Kontos. Kennwort mit umkehrbarer Verschlüsselung speichern DES-Verschlüsselungstypen für dieses Konto verwenden Keine Kerberos-Präauthentifizierung erforderlich Was diese Optionen bedeuten ist mir nur eingeschränkt klar. Wann ist es sinnvoll diese Optionen mit einzuschalten, und welche Auswirkungen haben diese auf das Netzwerk oder das Konto (Thema Sicherheit, etc.) Gruß, xtra. Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 4. Juli 2005 Melden Teilen Geschrieben 4. Juli 2005 Kennwort mit umkehrbarer Verschlüsselung speichern DES-Verschlüsselungstypen für dieses Konto verwenden Keine Kerberos-Präauthentifizierung erforderlich Hallo xtra, die Einstelloptionen bedeuten folgendes: zu1) Diese Option ermöglicht es MAC-Benutzern sich zu authentifizieren, da MACs nur diese Art nutzen. zu2) Ist eigentlich logisch, oder? Hier wird DES zum verschlüssen des Kontos genutzt zu3) Da zitiere ich lieber aus "MS Windows 2000 Active Directory Services" (S. 240, MS-Press, Trainigsbuch zu 70-217) "Entfernt die Kerberos-Präauthentifizierung für Konten mit einer anderen Implementierung von Kerberos. Nicht alle Implementierungen oder Bereitstellungen von Kerberos verwenden die Präauthentifizierungsfunktion" hmmm.... klar soweit? ;) Sicherheitstechnisch dürfte lediglich DES interessant sein. Die anderen Optionen dienen ja nicht der Sicherheit, sondern der Funktionalität. Hoffe ein klein wenig geholfen zu haben ;) grüße dippas Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 4. Juli 2005 Autor Melden Teilen Geschrieben 4. Juli 2005 zu1)Diese Option ermöglicht es MAC-Benutzern sich zu authentifizieren, da MACs nur diese Art nutzen. Laut Microsoft Press: ...führt dazu, dass das Kennwort von Benutzern mit einer umkehrbaren Verschlüsselung gespeichert und von Administratoren wieder gelesen werden kann. Was mir da in den Sinn kommt: Ist das Sicherheitstechnisch nicht sehr prikär, wenn Admin's die Passwörter von Usern lesen können? Wozu gibt's diese Option dann? zu2)Ist eigentlich logisch, oder? Hier wird DES zum verschlüssen des Kontos genutzt Hat das denn nur Vorteile, oder auch Nachteile. Wie wirkt sich das aus, wenn ich die Option aktiviere? zu3)Da zitiere ich lieber aus "MS Windows 2000 Active Directory Services" (S. 240, MS-Press, Trainigsbuch zu 70-217) "Entfernt die Kerberos-Präauthentifizierung für Konten mit einer anderen Implementierung von Kerberos. Nicht alle Implementierungen oder Bereitstellungen von Kerberos verwenden die Präauthentifizierungsfunktion" hmmm.... klar soweit? ;) Press: Laut dem Kerberos-Standard ist die TGT-Anforderung des Clients ein unverschlüsseltes Paket, da es keine sicherheitssensiblen Daten enthält. Bei Verwendung der Kerberos-Präauthentifizierung wird dieses Paket bereits mit dem privaten Schlüssel des Benutzers/Anforderers verschlüsselt. Selbe Frage wie bei 1), zusätzlich würde ich gerne wissen ob man das überhaupt mal braucht, da ja im Artikel steht, dass das Paket keine sicherheitssensiblen Daten enthält. Gruß, xtra. Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 4. Juli 2005 Melden Teilen Geschrieben 4. Juli 2005 Laut Microsoft Press:...führt dazu, dass das Kennwort von Benutzern mit einer umkehrbaren Verschlüsselung gespeichert und von Administratoren wieder gelesen werden kann. Also, ich habe noch einmal ein wenig geblättert und es bleibt dabei: Für MAC-User. Steht auch so in der Windowshilfe. Hat das denn nur Vorteile, oder auch Nachteile. Wie wirkt sich das aus, wenn ich die Option aktiviere? Tja, das ist sicherlich eine berechtigte Frage .... Ich denke, wenn man sich den Unterscheid DES vs. Kerberos anschaut, werden technische Unterschiede ersichtlich. Vielleicht gibt es auch Clients, die kein Kerberos können? Press: Laut dem Kerberos-Standard ist die TGT-Anforderung des Clients ein unverschlüsseltes Paket, da es keine sicherheitssensiblen Daten enthält. Bei Verwendung der Kerberos-Präauthentifizierung wird dieses Paket bereits mit dem privaten Schlüssel des Benutzers/Anforderers verschlüsselt. hmmm.... ich lese zu TGT bei MS-Press folgendes (sinngemäß): Da der User jedesmal vom Kerberos Authentication Server (AS) ein Kennwort eingeben müsste, um Netzwerkdienste zu nutzen, wird auf den TGS (Ticket Granting Server) zurückgegriffen, der ein TGT (Ticket Granting Ticket) ausstellt. der TGS steht "zwischen" Benutzer und AS. Er vergibt ein TGT an den User um die Passwortabfrage zu ersparen. Das erfolgt soweit alles automatisch und NICHT unverschlüsselt. Im Übrigen wird sich darüber ausgelassen, dass der private Schlüssel (=Passwort) nicht benutzt wird, sondern ein Sitzungsschlüssel für die Netzwerkdienste, der wiederum vom TGT stammt. Insofern sehe ich eher Kompatibilitätsgründe für Punkt 3), zumal ich auch aus anderer Quelle gelesen habe: "Die Option, sich ohne sie anmelden zu können, ist verfügbar, um die Authentifizierung von Clients zu ermöglichen, die eine frühere oder nicht standartmäßige Implementierung verwenden". Wir haben jetzt 2 Möglichkeiten: 1. Wir "hauen" uns weiter Zitate um die Ohren, was uns beide aber nicht weiterbringt ;) 2. Wir warten auf eine dritte Meinung weiterer Boarduser. Ich würde aber schon gerne wissen, welche Mehrheitsmeinung sich herauskristalisiert, denn interessiert bin ich ebenfalls, wobei ich sagen muss, dass ich alle 3 Optionen deaktiviert habe. grüße dippas Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 4. Juli 2005 Melden Teilen Geschrieben 4. Juli 2005 Kennwort mit umkehrbarer Verschlüsselung speichern Wird auch für CHAP Authentifizierung benutzt, falls man also einen Router etc hat, der maximal CHAP spricht. Für den IIS gibt es auch nochmal so eine Option soweit ich weiß, die diesen Punkt benötigt. Aber das nur am Rande :) Gruß Andre Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.