Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Speichern der Authentifizierer 27
Im Speicher
Wenn sich ein Benutzer interaktiv oder über Terminaldienste anmeldet, speichert Windows
den Hashwert für das Kennwort des Benutzers (den NT-Hash und, sofern der Computer
entsprechend konfiguriert ist, auch den LM-Hash) in einem Cache. Der Hashwert wird an
einer Stelle im Speicher abgelegt, auf die nur das Betriebssystem und natürlich Prozesse, die
als Betriebssystem agieren, Zugriff haben. Wenn ein Benutzer versucht, auf eine Netzwerkressource
zuzugreifen, die eine Authentifizierung erfordert, verwendet das Betriebssystem
diesen zwischengespeicherten Hashwert für die Authentifizierung. Das ermöglicht eine
transparente Authentifizierung bei Netzwerkressourcen. Sobald sich der Benutzer abmeldet
oder die Arbeitsstation sperrt, wird die entsprechende Speicherstelle automatisch gelöscht.
Über diese Hashwerte wurde rege diskutiert, als ein bestimmter Fall demonstriert wurde:
Falls ein Domänenadministrator angemeldet ist, kann jeder andere Benutzer, der ein Administrator
ist, den Kennworthash des Domänenadministrators lesen und sich damit beim Domänencontroller
als Domänenadministrator authentifizieren. Das sollte aber jedem, der sich
mit der Materie beschäftigt, ohnehin klar sein, und ehrlich gesagt wäre ein solcher Angriff
viel zu aufwendig. Falls ein Angreifer bereits eine Arbeitsstation kompromittiert hat, wäre es
viel einfacher, einfach ein Subauthentifizierungspaket zu installieren, das Kennwörter während
des Anmeldevorgangs im Klartext aufzeichnet. Solche Pakete werden unterstützt, um
einmaliges Anmelden an Nicht-Windows-Netzwerkgeräten im Pass-through-Verfahren zu
ermöglichen. Nach demselben Prinzip wird auch der NT-Hash zwischengespeichert, um das
einmalige Anmelden an Windows-Geräten zu ermöglichen. Es wäre zwar möglich, die
zwischengespeicherten Kennworthashwerte zu löschen, aber die meisten Benutzer würden
rebellisch, müssten sie ihr Kennwort jedes Mal neu eingeben, wenn auf eine Netzwerkressource
zugegriffen wird. Würden diese zwischengespeicherten Kennworthashwerte gelöscht,
könnte sich der Computer nicht mehr transparent im Namen des Benutzers bei Nicht-Domänennetzwerkressourcen
authentifizieren.
Das Problem liegt somit nicht wirklich darin, wie Windows den NT-Hash zwischenspeichert,
und auch nicht bei den Subauthentifizierungspaketen, sondern beim verwendeten Verfahren.
Ein Domänenadministrator sollte sich niemals interaktiv an einer Arbeitsstation anmelden,
an der ein Benutzer mit lokalen administrativen Privilegien angemeldet ist, sofern dieser
Benutzer nicht von allen Domänen-Admins als vertrauenswürdig eingestuft wird. Wenn Sie
sich an diese einfache Regel halten, können Sie verhindern, dass diese sinnvolle Funktionalität
als Angriffsweg missbraucht wird. Weitere Informationen zu diesem Thema finden Sie
in Kapitel 14, »Schützen des Netzwerks«.
Umkehrbar verschlüsselt
Schließlich bietet Windows noch die Möglichkeit, Kennwörter umkehrbar zu verschlüsseln.
Wenn ein Kennwort umkehrbar verschlüsselt (engl. reversibly encrypted) gespeichert wird,
kann es in Klartext zurückverwandelt werden. Offensichtlich heißt das, dass ein solches
Kennwort nicht geknackt werden muss. In der Standardeinstellung ist die Speicherung von
Kennwörtern im umkehrbar verschlüsselten Format deaktiviert. Diese Funktion wird gewöhnlich
nur in zwei Situationen benötigt. Erstens, falls Sie bestimmte ältere Authentifizierungsprotokolle
für Remotezugriff verwenden, zum Beispiel die CHAP- oder Digest-Protokolle.
Zweitens, falls Sie eine erweiterte Analyse Ihrer Kennwörter durchführen wollen,
nachdem sie festgelegt wurden. Zum Beispiel wollen manche Organisationen die Kennwör-