Wird ein Domain Kennwort irgendwo lokal gespeichert?

[Weckmann]

Hey,

kann es sein, dass wenn ein Domain User sich an einem Client mit seinem Domain Passwort anmeldet, dieses Kennwort irgendwo auf dem Client gespeichert wird?
Könnte ein Domain Admin sich am Client anmelden und in irgendeiner Log-Datei dieses Passwort herausholen?

 

[Janz]

unter Windows? Ja, Systemsteuerung\Benutzerkonten und Family Safety\Anmeldeinformationsverwaltung

Auslesen kannst du aber nichts, bzw der Kram wird selbstverständlich verschlüsselt gespeichert

 

[TheCadillacMan]

kann es sein, dass wenn ein Domain User sich an einem Client mit seinem Domain Passwort anmeldet, dieses Kennwort irgendwo auf dem Client gespeichert wird?

Ja, aber nur als Hash:

Windows also stores a password verifier on domain members when a domain user logs on to that domain member. This verifier can be used to authenticate a domain user if the computer is not able to access the domain controller. The password verifier is also commonly called a cached credential. It is computed by taking the NT hash, concatenating the user name to it, and then hashing the result by using the MD4 hash function.

Quelle: Passwords Technical Overview

Könnte ein Domain Admin sich am Client anmelden und in irgendeiner Log-Datei dieses Passwort herausholen?

Da es ein Hash ist, nicht ohne weiteres.
Aber: Warum sollte man denn Aufwand betreiben? Als Domänen-Admin kann ich das Passwort einfach im AD zurücksetzen.

 

[Weckmann]

Ja, aber nur als Hash:




Da es ein Hash ist, nicht ohne weiteres.
Aber: Warum sollte man denn Aufwand betreiben? Als Domänen-Admin kann ich das Passwort einfach im AD zurücksetzen.

Klar, kann das Passwort im AD zurückgesetzt oder geändert werden. Ich frage mich halt nur, ob bei einer Domain Anmeldung an einem Client, dass Kennwort irgendwo auch lokal gespeichert wird. Wir hatten das Thema heute, dass ein Arbeitskollege behauptet hat, er bräuchte den User zur Einrichtung eines neuen Benutzerprofils nicht und könnte das Kennwort auslesen.....

 

[Janz]

Das ist doch Quatsch, was meinste was fürn Sicherheitsrisiko das wäre? Mit dem hinterlegten Hash kannst du auf kein Passwort kommen

 

[Weckmann]

Das ist doch Quatsch, was meinste was fürn Sicherheitsrisiko das wäre? Mit dem hinterlegten Hash kannst du auf kein Passwort kommen

Das habe ich auch gesagt

 

[LieberNetterFlo]

es gibt nur "Pass the hash" Attacken, aber da wird auch nur auf den Hash zugrückgegriffen, nie auf das Passwort selbst, das ist nirgends Dekodierbar gespeichert (mit "humanen" Mitteln zumindest nicht dekodierbar)