Schlagwort: Password

Veröffentlicht am

Gespeicherte Credentials für RDP verbieten

Die Zugangsdaten einer Remote-Desktop Verbindung zu speichern, ist eine willkommene Erleichterung der täglichen Arbeit. Erlaubt sie doch schnellen Wechsel zwischen Serversystemen, ohne jedesmal das Passwort erneut einzugeben.

Genau hierin besteht jedoch das Problem. Erhält ein Angreifer Zugriff auf ein Endgerät mit gespeicherten Verbindungsdaten, so hat er damit auch Zugriff auf die dort hinterlegten RDP Verbindungen.

Dazu braucht er nicht unbedingt Zugang zum Firmengelände. Das Büro ist heute überall. Jeder kann sein Notebook, sein Tablet, oder sein Smartphone mit nach Hause nehmen. Endgeräte können entweder durch einen Exploit übernommen, oder physisch gestohlen werden.

Wie so oft stehen Sicherheit und Komfort an diametral verschiedenen Enden des Spektrums. „Gespeicherte Credentials für RDP verbieten“ weiterlesen

Veröffentlicht am

VCSA root Passwort Reset

Es kommt leider immer wieder vor, dass wichtige Systeme in der Vergangenheit nicht, oder nur unzureichend dokumentiert wurden.  Geplante Wartungsarbeiten oder Updates drohen an einem fehlenden Login zur vCenter Server Appliance zu scheitern.

Bei einer vCenter Server Appliance 5.5 (VCSA) das root Passwort zurücksetzen ist nicht sehr kompliziert. Bei der VCSA 6.x ist jedoch der GRUB Bootloader mit einem Passwort geschützt, so dass der obige Trick nicht direkt durchführbar ist. Ich fand aber zwei unterschiedliche Ansätze, auch diesen Schutz zu umgehen. Der erste untfernt das GRUB Passwort und hat damit die Möglichkeit in eine Bash Shell zu booten. Die zweite Methode verändert die Password Shadows des root Users.

Beide Methoden setzen voraus, daß ich physischen Zugang zur Virtuellen Infrastruktur habe und in der Lage bin, von einer CD oder einem ISO zu booten.

„VCSA root Passwort Reset“ weiterlesen

Veröffentlicht am

Fine grained password policy

Seit Windows Server 2008 gibt es die Möglichkeit, granuläre Passwortrichtlinien für einzelne User oder Sicherheitsgruppen zu erstellen. Unterschiedliche Passwortrichtlinien sind mit Gruppenrichtlinien nicht realisierbar, da es pro Domäne nur eine Kennwortrichtlinie mittels GPO geben kann.

Voraussetzungen

Die Domäne muss sich in der Domänenfunktionsebene Server 2008 (oder höher) befinden.

Active Directory Benutzer und Computer > Domäne > Eigenschaften > Allgemein

fgpp17Nur für Benutzer und für globale Sicherheitsgruppen (nicht universal, oder domain local) „Fine grained password policy“ weiterlesen