[adde] AW: [adde] AW: [adde] AW: [adde] Re: Kerberos und Passwortänderung

• From: Thomas Wallutis <Thomas.Wallutis@xxxxxxxxxxxxxxxxx>
• To: "adde@xxxxxxxxxxxxx" <adde@xxxxxxxxxxxxx>
• Date: Fri, 8 Mar 2013 09:29:58 +0100

Hi,

danke, werde ich mir gleich mal anschauen. Mir fiel dann auch noch ein Vortrag 
namens „Windows Logons Revealed“ von Mark Minasi auf der TechEd 2008 ein.

Bei der Suche bin ich dann noch über 
http://channel9.msdn.com/Events/TechEd/Europe/2009/SIA401 gestolpert; das 
könnte auch passen.

Vielleicht hilft das ja auch Anderen weiter.

Mit freundlichen Grüßen

Thomas Wallutis
Senior Consultant

Phone: +49 (0)7152 33552 30
Mobil: +49 (0)172 37990 64
Fax:   +49 (0)7152 33552 39
EMail: thomas.wallutis@xxxxxxxxxxxxxxxxx

krügernetwork GmbH
Consulting & Training
Bahnhofstraße 63, D - 71229 Leonberg (Germany)
Geschäftsführer: Samuel Krüger
Sitz der Gesellschaft: Leonberg, Amtsgericht Stuttgart, HRB 730101
UST-IDNr.: DE 265501645
http://www.kruegernetwork.de

This email contains information which is confidential and may be privileged. 
Unless you are the intended addressee (or authorised to receive for the 
addressee) you may not use, forward, copy or disclose to anyone this email or 
any information contained in this email. If you have received this email in 
error, please advise the sender by reply email immediately and delete this 
email.


Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Lars 
Fischer
Gesendet: Donnerstag, 7. März 2013 23:26
An: adde@xxxxxxxxxxxxx
Betreff: [adde] AW: [adde] AW: [adde] Re: Kerberos und Passwortänderung

Hallo Thomas,

wenn du zu Kerberos mal nen guten Beitrag dir anschauen willst dann empfehle 
ich diesen Link -> 
http://www.microsoft.com/germany/msdn/launch2008/library.aspx?id=T04_DO_1715 
die PPT gibt’s auch zum Download

Gruß Lars


Mit freundlichen Grüßen / with kind regards

Lars Fischer

Abteilungsleiter
TSV 1846 Nürnberg e.V. Abteilung Rugby
Tel: 0170 / 3094931
Facebook: https://www.facebook.com/rugbynuernberg
Mail: vorsitzender@xxxxxxxxxxxxxxxxxx<mailto:vorsitzender@xxxxxxxxxxxxxxxxxx>
Web: http://www.rugby-nuernberg.de<http://www.rugby-nuernberg.de/>

Vorstand
Verein zur Förderung des Rugbysports in der Metropolregion Nürnberg e.V.
Langer Steig 14
90425 Nürnberg
Fax: 0911 / 3666622
Facebook: https://www.facebook.com/4rugby
Mail: fischer@xxxxxxxxx<mailto:fischer@xxxxxxxxx>
Web: http://www.4rugby.de<http://www.4rugby.de/>
Steuernummer: 241/111/41998, VR 201393 Vereinsregister Nürnberg.

   P  Vor dem Ausdruck dieser E-Mail bedenken Sie bitte, dass überflüssiges 
drucken die Umwelt belastet
before printing this e-mail, please be aware redundant printing may accelerate 
environmental damage

Diese Nachricht ist nur für den vorgesehenen Empfänger bestimmt. Sollten Sie 
nicht der vorgesehene Empfänger dieser E-Mail und ihres Inhalts
sein oder diese E-Mail irrtümlich erhalten haben, bitten wir Sie, den Absender 
unverzüglich darüber zu informieren und diese Nachricht und all
ihre Anhänge vollständig von Ihrem Computer zu löschen.
Jede Form der unbefugten Nutzung, Veröffentlichung, des Kopierens oder der 
Offenlegung des Inhalts dieser E-Mail ist nicht gestattet.

This message is intended for the addressee only. If you are not the intended 
recipient of this e-mail message and its content or have received this
e-mail in error, please notify the sender immediately and delete this message 
and all its attachments.
Any form of unauthorized use, publication, copying or disclosure of the content 
of this e-mail is prohibited.



Von: adde-ml@xxxxxxxxxxxxx<mailto:adde-ml@xxxxxxxxxxxxx> 
[mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Thomas Wallutis
Gesendet: Donnerstag, 7. März 2013 18:19
An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx>
Betreff: [adde] AW: [adde] Re: Kerberos und Passwortänderung

Hi,

Witzbold;-) Das ist mir schon klar, dass das PW nicht im Klartext übertragen 
wird.

Nachdem was ich bisher gefunden habe, wird wohl mit dem PW-Hash die Client-Zeit 
verschlüsselt und das Ergebnis ist dann Teil des KRB_AS_REQ Paketes.

Leider ist die Dokumentation eher spärlich (oder ich kaufe die falschen Bücher 
und bin zu doof zum Googeln) und  auch nicht ganz eindeutig.

Nehmen wir nun mal an dass der PW-Hash nur bei diesem Paket ins Spiel kommt. So 
wie ich das verstanden habe, erfolgt die Versendung des KRB_AS_REQ-Paketes (für 
den User) bei der Anmeldung mit seinem Domänen-Konto am PC. Bei erfolgreicher 
Anmeldung erhält der User dann sein TGT und (so stand es auch wo) ein 
TGS-Ticket für den PC.

Bei einer Anmeldung mit gecachten Anmeldedaten müsste dass dann ja nach der 
Anmeldung am PC erfolgen; also wenn die VPN-Verbindung steht.

Ich gehe mal davon aus dass eine Passwortänderung sofort die gecachten Daten in 
der Registry überschreibt.

Da das PW nur beim KRB_AS_REQ-Paket benutzt wird und das TGT acht Stunden 
gültig ist, sehe ich noch keinen Grund warum der User fünf Minuten nach der 
PW-Änderung aus dem Netz geworfen werden sollte (wobei mal wieder nicht genau 
klar ist, was wirklich passierte).

Und ich finde auch keinen logischen Grund, warum eine PW-Änderung durch den 
Admin einen Aussperrung des Users zur Folge haben sollte.

Oder lässt sich eine Situation konstruieren, bei der der User im 
KRB_AS_REQ-Paket noch sein altes Kennwort (ja, ja, seinen Hash) nutzt obwohl 
der DC schon sein neues Kennwort kennt?

Mit freundlichen Grüßen

Thomas Wallutis
Senior Consultant

Phone: +49 (0)7152 33552 30
Mobil: +49 (0)172 37990 64
Fax:   +49 (0)7152 33552 39
EMail: 
thomas.wallutis@xxxxxxxxxxxxxxxxx<mailto:thomas.wallutis@xxxxxxxxxxxxxxxxx>

krügernetwork GmbH
Consulting & Training
Bahnhofstraße 63, D - 71229 Leonberg (Germany)
Geschäftsführer: Samuel Krüger
Sitz der Gesellschaft: Leonberg, Amtsgericht Stuttgart, HRB 730101
UST-IDNr.: DE 265501645
http://www.kruegernetwork.de

This email contains information which is confidential and may be privileged. 
Unless you are the intended addressee (or authorised to receive for the 
addressee) you may not use, forward, copy or disclose to anyone this email or 
any information contained in this email. If you have received this email in 
error, please advise the sender by reply email immediately and delete this 
email.


Von: adde-ml@xxxxxxxxxxxxx<mailto:adde-ml@xxxxxxxxxxxxx> 
[mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Nils Kaczenski
Gesendet: Donnerstag, 7. März 2013 17:42
An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx>
Betreff: [adde] Re: Kerberos und Passwortänderung

Moin,

Liege ich richtig mit der Annahme, dass das Passwort eines Domänen-Benutzers 
nur bei der Anfrage nach einem TGT ins Spiel kommt (also bei der 
AS_REQ-Nachricht)?
nein. Das Kennwort des Users wird nur lokal vom Winlogon-Prozess verarbeitet. 
Bei der Kommunikation mit dem DC wird nur der Hash übertragen. Der DC kennt das 
Kennwort nicht, nur den Hash.

Danach hingegen, und das meinst du vermutlich, wird nur das Kerberos-Ticket 
übertragen. Eine kennwort- bzw. hashbasierende Anmeldung erfolgt nur gegenüber 
den Domänencontrollern.

Das beschriebene Szenario habe ich allerdings nicht verstanden und kann daher 
nichts dazu sagen.

Gruß, Nils

--



MVP Windows Server: Directory Services



www.kaczenski.de<http://www.kaczenski.de>

Twitter: @Kaczenski

www.faq-o-matic.net<http://www.faq-o-matic.net>

http://about.me/Nils.Kaczenski

MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski

• References:
  • [adde] Kerberos und Passwortänderung
    • From: Thomas Wallutis
  • [adde] Re: Kerberos und Passwortänderung
    • From: Nils Kaczenski
  • [adde] AW: [adde] Re: Kerberos und Passwortänderung
    • From: Thomas Wallutis
  • [adde] AW: [adde] AW: [adde] Re: Kerberos und Passwortänderung
    • From: Lars Fischer

Other related posts:

• » [adde] AW: [adde] AW: [adde] AW: [adde] Re: Kerberos und Passwortänderung - Thomas Wallutis

1. Home
2. adde
3. Archive
4. 03-2013

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---