Warum Dienste nicht als Administrator laufen sollten

Leider ist es viel zu oft gängige Praxis, dass Systemdienste mit der Berechtigung eines Administrators, gerne sogar mit denen eines Domänen-Admins laufen, da dieser natürlich alle Berechtigungen hat und somit (fast) alles darf.

Vielen Admins ist hierbei jedoch nicht bewußt dass die so gespeicherten Kennwörter relativ einfach im Klartext ausgelesen werden können. Mit den folgenden einfachen Schritten kann sich jeder persönlich davon überzeugen wie einfach es tatsächlich ist Kennwörter auszulesen.

1.)    Wir konfigurieren uns einen Beispieldienst, so dass er als Domänen-Admin läuft und starten den Dienst anschließend neu (sollte der Dienst nicht starten ist dies für das Beispiel uninteressant 😉 )

2.)    Nun starten wir uns eine CMD Konsole. Wichtig hierbei ist, dass diese im System Kontext läuft. Am einfachsten erreichen wir dies über das Tool psexec aufgerufen aus einer Admin Konsole (Strg+Shift beim starten der cmd gedrückt halten)

Der Parameter –s öffnet die CMD im System Kontext, -i sorgt dafür dass die Session interaktiv ist und –d wartet nicht auf ein beenden des Prozesses.

3.)    Wir laden uns nun den Service Account Passwort Dumper kurz SAPD.exe von http://zine.net.pl/Misc/SAPD.zip herunter und entpacken ihn.

4.)    Aus der System Account CMD rufen wir nun das Tool auf und übergeben ihm den Dienstenamen:

Erschreckend einfach oder?

 Wie kann ich nun verhindern dass meine Passwörter ausgelesen werden?

Antwort: Gar nicht!

Admins können jedoch einige einfache Richtlinien beachten um die Sicherheit von Dienstekonten zu erhöhen:

  • Jedes Dienstekonto auf jedem Server sollte unter einer seperaten ID laufen
  • Wenn möglich sollte das Konto nur die notwendigen Rechte auf dem Server haben und kein Domänen Account sein
  • Das Passwort sollte eine gewisse Komplexität aufweisen. Reichten früher 8 Zeichen Länge aus, wird mittlerweile eine mindest Länge von 11 Zeichen, inklusive Zahlen und Sonderzeichen empfohlen um das Konto wirksam vor Brute Force Attacken zu schützen (siehe Grafik unten)
  • Auch wenn es mühsam ist: Auch Service Account Passwörter sollen ablaufen und somit regelmäßig geändert werden
  • Das Konto sollte nur die Rechte haben dies es unbedingt benötigt. Sollte das Konto kompromittiert werden ist es wesentlich weniger gefährlich als mit einem administrativen Account

Quelle: Paula Januszkiewicz, http://blogs.technet.com/b/plwit/

Print Friendly, PDF & Email
Februar 15, 2012

Schlagwörter: , , , , , , ,
  • I know this if off topic but I’m looking into starting my own weblog and was curious what all is required to get set up?

    I’m assuming having a blog like yours would cost
    a pretty penny? I’m not very internet savvy so
    I’m not 100% certain. Any tips or advice would
    be greatly appreciated. Thank you

  • здесь Всем привет! я Хотело бы порекомендовать наш сайт – перейти Прекрасный сайт для проведения времени. Заходите и смотрите. Переходим к нам на сайт сюда. Сайт для всех нам. замечательный для сайтов. Если они хотите. к нам входящий

  • 1xbet добрый день! я Хотел бы порекомендовать сайт – 1xbet Превосходный сайт для проведения времени. Заходите и смотрите. Переходим к нам на сайт сюда. Сайт для тех кому нужен. замечательный для сайтов. Если они хотите. рекомендуем переходящий

  • Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.