Passwort zurücksetzen

Beschreibung

Der Sicherheitsprinzipal der Quelle kann das Passwort des Ziels zurücksetzen, wodurch er sich mit dem neuen zugewiesenen Passwort als Ziel authentifizieren und von den Rechten des Ziels profitieren kann.

Ein Passwort zurückzusetzen ist nicht dasselbe wie das Ändern eines Passworts, was jeder tun kann, der das aktuelle Passwort kennt. Eine Passwortänderung erfolgt in der Regel, wenn ein Passwort abläuft.

Ausnutzung

Angreifer, die den Sicherheitsprinzipal der Quelle kompromittieren, können das Passwort des Ziels mit nativen Windows-Befehlen wie „net user /domain”, PowerShell wie „Set-ADAccountPassword -Reset”, Verwaltungstools wie „Active Directory-Benutzer und -Computer“ oder speziellen Hacker-Tools wie PowerSploit zurücksetzen.

Angreifer müssen sich dann nur noch beim Active Directory oder der Zielressource mit legitimen Authentifizierungsmethoden und dem neu gewählten Passwort authentifizieren, um sich vollständig als das Ziel auszugeben.

Allerdings kennen Angreifer in der Regel nicht das vorherige Passwort, um dieses nach dem Angriff wieder anwenden zu können. Daher ist der Angriff oft für die legitime Person hinter dem Ziel sichtbar und kann sogar ein Denial of Service verursachen, insbesondere für Dienstkonten.

Behebung

IT-Administratoren und Helpdesk-Mitarbeiter sind legitimerweise berechtigt, Passwörter zurückzusetzen. Sie müssen jedoch die entsprechenden Delegierungen einrichten, damit sie diese Aktion nur innerhalb ihres zulässigen Perimeters durchführen können.

Außerdem müssen Sie gemäß dem Tiering-Modell sicherstellen, dass Mitarbeiter einer niedrigeren Stufe, z. B. ein Helpdesk für normale Benutzer, das Passwort eines Kontos einer höheren Stufe, z. B. eines Domänenadministrators, nicht zurücksetzen können, da dies eine Möglichkeit zur Rechteausweitung darstellt.

So ändern Sie die Sicherheitsbeschreibung des Ziels und entfernen unzulässige Berechtigungen:

1. Klicken Sie in „Active Directory-Benutzer und -Computer” mit der rechten Maustaste auf Eigenschaften > Sicherheit.

2. Entfernen Sie die „Passwort zurücksetzen”-Berechtigung für den Sicherheitsprinzipal der Quelle.

Hinweis: Verwechseln Sie diese Berechtigung nicht mit „Passwort ändern“.

Siehe auch

• Schlüssel-Anmeldeinformation hinzufügen

• Mitglied hinzufügen

• Agieren zulässig

• Delegieren zulässig

• Gehört zu GPO

• DCSync

• „Agieren zulässig” gewähren

• Hat SID-Verlauf

• Implizite Übernahme

• GPO erben

• Verknüpftes GPO

• Mitglied von

• Besitzt

• RODC-Verwaltung

• DACL schreiben

• Besitzer schreiben