[gpupdate] Re: Preferences und lokale Adminpassworte

  • From: "Norbert Fehlauer" <n.fehlauer@xxxxxxx>
  • To: <gpupdate@xxxxxxxxxxxxx>
  • Date: Tue, 5 Aug 2008 20:28:32 +0200

Hi,

So ein Pech, dabei wollt ich doch darüber den nächsten Artikel pinseln (hab sogar schon begonnen). ;) Ich hatte bisher auch das offizielle Statement, dass es /nicht/ empfohlen ist, high secure Accounts damit zu bearbeiten. Im täglichen Gebrauch dürften viele das aber immer noch besser finden als überall das gleiche Kennwort für die nächsten 100 Jahre zu verwenden. Ich rede von Umgebungen zwischen 5 und 500 Usern.

Bye
Norbert

--------------------------------------------------
From: "Florian Frommherz" <florian@xxxxxxxxxxxxxxx>
Sent: Tuesday, August 05, 2008 6:31 PM
To: <gpupdate@xxxxxxxxxxxxx>
Subject: [gpupdate] Preferences und lokale Adminpassworte

Howdie!

Nachdem meine Diplomarbeit so gut wie über der Bühne ist - es fehlt noch ein wenig an der schriftlichen Ausarbeitung - hab' ich endlich Zeit, mich wieder um die interessanten Dinge im Leben zu kümmern ;-) Lasst uns philosophieren
und diskutieren:

Mit Group Policy Preferences gibt es die Möglichkeit, über die neuen CSEs
Passworte lokaler Benutzer, unter anderem auch den lokalen Administratoren
zu ändern. Coole Sache, zumal das Feature auf vielen Seiten gelobt wird. Das
Adminpasswort wird bei der Verwendung der Preference-CSEs verschlüsselt in
der XML-Datei auf dem SYSVOL abgelegt. Eine nähere Beschreibung dazu gibt's
hier:
http://blogs.technet.com/grouppolicy/archive/2008/08/04/passwords-in-group-p
olicy-preferences.aspx

Die Verschlüsselung funktioniert per 256bit-AES. AES ist eine symmetrische
Verschlüsselung, wenn ich richtig in den Kryptographievorlesungen aufgepasst
habe. Das bedeutet, dass die beiden Schlüssel zur Ver- und Entschlüsselung
identisch sind. Da kein Schlüsselaustausch zwischen Clients und DCs
stattfindet, muss der Schlüssel hardkodiert sein (und somit auf allen
Windows-Systemen gleich!). Wie sicher kann diese Verschlüsselung dann sein, zumal der Schlüssel bekannt werden könnte und damit für jedermann einsehbar
wäre? Die Passworte im SYSVOL wären dann auch nicht mehr sicher. Hätte die
Preference-Methode, Adminpassworte zu wechseln dann noch einen Vorteil
gegenüber einer Logon-Skript-Methode, ausser, dass es "bequemer" ist? Welche
Alternativen zum Passwortwechsel gibt es denn?

Ich hab' mal versucht, die Alternativen aufzulisten - Preferences sind
bisher noch nicht dabei:
http://www.frickelsoft.net/blog/?p=59

Wie denkt ihr darüber?

Cheers,

Florian




Other related posts: