Hi,So ein Pech, dabei wollt ich doch darüber den nächsten Artikel pinseln (hab sogar schon begonnen). ;) Ich hatte bisher auch das offizielle Statement, dass es /nicht/ empfohlen ist, high secure Accounts damit zu bearbeiten. Im täglichen Gebrauch dürften viele das aber immer noch besser finden als überall das gleiche Kennwort für die nächsten 100 Jahre zu verwenden. Ich rede von Umgebungen zwischen 5 und 500 Usern.
Bye Norbert -------------------------------------------------- From: "Florian Frommherz" <florian@xxxxxxxxxxxxxxx> Sent: Tuesday, August 05, 2008 6:31 PM To: <gpupdate@xxxxxxxxxxxxx> Subject: [gpupdate] Preferences und lokale Adminpassworte
Howdie!Nachdem meine Diplomarbeit so gut wie über der Bühne ist - es fehlt noch ein wenig an der schriftlichen Ausarbeitung - hab' ich endlich Zeit, mich wieder um die interessanten Dinge im Leben zu kümmern ;-) Lasst uns philosophierenund diskutieren: Mit Group Policy Preferences gibt es die Möglichkeit, über die neuen CSEs Passworte lokaler Benutzer, unter anderem auch den lokalen Administratorenzu ändern. Coole Sache, zumal das Feature auf vielen Seiten gelobt wird. DasAdminpasswort wird bei der Verwendung der Preference-CSEs verschlüsselt inder XML-Datei auf dem SYSVOL abgelegt. Eine nähere Beschreibung dazu gibt'shier: http://blogs.technet.com/grouppolicy/archive/2008/08/04/passwords-in-group-p olicy-preferences.aspx Die Verschlüsselung funktioniert per 256bit-AES. AES ist eine symmetrischeVerschlüsselung, wenn ich richtig in den Kryptographievorlesungen aufgepassthabe. Das bedeutet, dass die beiden Schlüssel zur Ver- und Entschlüsselung identisch sind. Da kein Schlüsselaustausch zwischen Clients und DCs stattfindet, muss der Schlüssel hardkodiert sein (und somit auf allenWindows-Systemen gleich!). Wie sicher kann diese Verschlüsselung dann sein, zumal der Schlüssel bekannt werden könnte und damit für jedermann einsehbarwäre? Die Passworte im SYSVOL wären dann auch nicht mehr sicher. Hätte die Preference-Methode, Adminpassworte zu wechseln dann noch einen Vorteilgegenüber einer Logon-Skript-Methode, ausser, dass es "bequemer" ist? WelcheAlternativen zum Passwortwechsel gibt es denn? Ich hab' mal versucht, die Alternativen aufzulisten - Preferences sind bisher noch nicht dabei: http://www.frickelsoft.net/blog/?p=59 Wie denkt ihr darüber? Cheers, Florian