Frage von SYSCrashTV, 13

Windows Server - Wie kann ich das Zwischenspeichern verhindern?

Hallo, wie kann ich verhindern, dass das Passwort auf dem Client zwischengespeichert wird?

Ich habe meinen Server und meinen Client. Ich kann mich mit dem Benutzer01 anmelden, auch wenn ich den Server ausschalte / das LAN-Kabel ziehe. Nach dem Anmelden kann ich es wieder einstecken und es funktioniert alles.

Nur kann ich ja so auch "Updates" der Benutzerdatenbank sperren. Beispielsweise deaktiviere ich nun Benutzer01 auf dem Server. Nun kann ich auf dem Client einfach das LAN-Kabel ziehen und mich trotzdem mit den letzten Anmeldedaten anmelden und dann wieder einstecken und siehe da, ich komme auch ins Internet!

Wie kann ich es verhindern, dass man sich mit den letzten bekannten Benutzern anmelden kann, wenn der DC nicht erreichbar ist?

Antwort
von Driver401, 13

Kenne ich nur, um Pass-the-Hash-Angriffe zu erschweren. Habe zwar grade keine Windows-Kiste zur Hand, aber die Einstellung ist in den Sicherheitsrichtlinien - lokal oder per GPO:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options

da unter Netzwerk-Sicherheit - lokale LM-Passwörter nicht speichern (oder so ähnlich aber das liest sich heraus)

Soweit ich weiß zieht die Einstellung aber erst nach einer Passwortänderung, der neue Hash wird dann nicht mehr lokal gespeichert und eine Domänenanmeldung ist nur mit erreichbarem Domaincontroller möglich. Lokale Anmeldung mit lokalem Konto geht natürlich trotzdem :-)

Wenn ich mich nicht irre, muss man dazu auch einen Patch vom März installiert haben..... sollte aber Standard installiert worden sein.... und zwar ab Win7 - mit XP oder Vista geht das gar nicht. Und mit Win10 wäre es auch denkbar dass das nicht mehr geht weil da ein neues Authentifizierungsverfahren eingebaut wurde...


Keine passende Antwort gefunden?

Fragen Sie die Community