Gespeicherte Credentials für RDP verbieten

Die Zugangsdaten einer Remote-Desktop Verbindung zu speichern, ist eine willkommene Erleichterung der täglichen Arbeit. Erlaubt sie doch schnellen Wechsel zwischen Serversystemen, ohne jedesmal das Passwort erneut einzugeben.

Genau hierin besteht jedoch das Problem. Erhält ein Angreifer Zugriff auf ein Endgerät mit gespeicherten Verbindungsdaten, so hat er damit auch Zugriff auf die dort hinterlegten RDP Verbindungen.

Dazu braucht er nicht unbedingt Zugang zum Firmengelände. Das Büro ist heute überall. Jeder kann sein Notebook, sein Tablet, oder sein Smartphone mit nach Hause nehmen. Endgeräte können entweder durch einen Exploit übernommen, oder physisch gestohlen werden.

Wie so oft stehen Sicherheit und Komfort an diametral verschiedenen Enden des Spektrums. „Gespeicherte Credentials für RDP verbieten“ weiterlesen

Granuläre Passwortrichtlinien in Active-Directory

Eine Passwortrichtlinie für die Domäne einzuführen ist nicht weiter schwer und lässt sich schnell mit einer Gruppenrichtlinie bewirken. Was aber erst auf den zweiten Blick auffält ist, daß man nur eine Richtlinie für die gesamte Domäne haben kann. Eine Beschränkung auf OU oder Nutzergruppen ist damit nicht möglich. Auch mehrere verschieden gestaltete Richtlinien für unterschiedliche Nutzergruppen kann man so nicht realisieren.

Seit Server 2008 gibt es jedoch einen Weg, unterschiedliche Passwort Richtlinien für unterschiedliche Gruppen einzuführen. Die sogenannte Fine Grained Password Policy.

Ermöglicht wird dies durch die Einführung neuer ADS Objektklassen seit Server 2008.

Voraussetzungen

  • Der Functional Level der Domäne muss mindestens Server 2008 sein.
  • Richtlinien können nur auf Nutzergruppen angewendet werden, nicht auf OU.

„Granuläre Passwortrichtlinien in Active-Directory“ weiterlesen

Reset root password CentOS Appliance

Dies ist wieder einmal ein sehr gutes Beispiel, warum man den Zugang zu Server Konsolen unbedingt schützen muss. Das betrifft natürlich nicht nur Virtuelle Server, jedoch ist hier der Missbrauch besonders einfach, da die Konsolen über LAN erreichbar und nicht mit einer Tür verschlossen sind.

Kennt hier jemand root?

Eine etwas ältere PanoLogic Appliance (Zero-Client Manager) eines Kunden sollte aktualisiert werden. Die Firma gibt es inzwischen nicht mehr und das Produkt wird weder vertrieben noch unterstützt. Dennoch wird es noch oft produktiv eingesetzt. Für die Arbeiten an der Appliance benötige ich den root Login. Leider konnte sich niemand an den root Login erinnern, oder wer diesen gesetzt haben könnte. Der Default Login “password” wurde verändert. Eine Kollektion weiterer möglicher Passworte wurde durchprobiert – jedoch ohne Erfolg. Folglich musste ein Weg gefunden werden, das Kennwort neu zu vergeben. Die Panomanager Appliance basiert auf einem CentOS 2.6.18. Das Verfahren ist geradzu erschreckend simpel.

Einfach zu einfach

Wer erstmal Zugang zur Konsole hat, dem stehen alle Türen offen. „Reset root password CentOS Appliance“ weiterlesen