Warum Dienste nicht als Administrator laufen sollten

Leider ist es viel zu oft gängige Praxis, dass Systemdienste mit der Berechtigung eines Administrators, gerne sogar mit denen eines Domänen-Admins laufen, da dieser natürlich alle Berechtigungen hat und somit (fast) alles darf.

Vielen Admins ist hierbei jedoch nicht bewußt dass die so gespeicherten Kennwörter relativ einfach im Klartext ausgelesen werden können. Mit den folgenden einfachen Schritten kann sich jeder persönlich davon überzeugen wie einfach es tatsächlich ist Kennwörter auszulesen.

1.)    Wir konfigurieren uns einen Beispieldienst, so dass er als Domänen-Admin läuft und starten den Dienst anschließend neu (sollte der Dienst nicht starten ist dies für das Beispiel uninteressant 😉 )

2.)    Nun starten wir uns eine CMD Konsole. Wichtig hierbei ist, dass diese im System Kontext läuft. Am einfachsten erreichen wir dies über das Tool psexec aufgerufen aus einer Admin Konsole (Strg+Shift beim starten der cmd gedrückt halten)

Der Parameter –s öffnet die CMD im System Kontext, -i sorgt dafür dass die Session interaktiv ist und –d wartet nicht auf ein beenden des Prozesses.

3.)    Wir laden uns nun den Service Account Passwort Dumper kurz SAPD.exe von http://zine.net.pl/Misc/SAPD.zip herunter und entpacken ihn.

4.)    Aus der System Account CMD rufen wir nun das Tool auf und übergeben ihm den Dienstenamen:

Erschreckend einfach oder?

 Wie kann ich nun verhindern dass meine Passwörter ausgelesen werden?

Antwort: Gar nicht!

Admins können jedoch einige einfache Richtlinien beachten um die Sicherheit von Dienstekonten zu erhöhen:

  • Jedes Dienstekonto auf jedem Server sollte unter einer seperaten ID laufen
  • Wenn möglich sollte das Konto nur die notwendigen Rechte auf dem Server haben und kein Domänen Account sein
  • Das Passwort sollte eine gewisse Komplexität aufweisen. Reichten früher 8 Zeichen Länge aus, wird mittlerweile eine mindest Länge von 11 Zeichen, inklusive Zahlen und Sonderzeichen empfohlen um das Konto wirksam vor Brute Force Attacken zu schützen (siehe Grafik unten)
  • Auch wenn es mühsam ist: Auch Service Account Passwörter sollen ablaufen und somit regelmäßig geändert werden
  • Das Konto sollte nur die Rechte haben dies es unbedingt benötigt. Sollte das Konto kompromittiert werden ist es wesentlich weniger gefährlich als mit einem administrativen Account

Quelle: Paula Januszkiewicz, http://blogs.technet.com/b/plwit/

Print Friendly, PDF & Email
Februar 15, 2012

Schlagwörter: , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.