Keine Anmeldung per Remotedesktop von außerhalb der Active Directory Gesamtstruktur möglich

Folgendes Szenario angenommen:

  • Man möchte eine Remotedesktopverbindung herstellen.
  • Der Clientcomputer, von welchem aus die Verbindung hergestellt wird, ist nicht Mitglied der gleichen Active Directory Gesamtstruktur wie der Zielcomputer.
  • Die Verbindung schlägt mit folgender Fehlermeldung fehl:
A user account restriction (for example, a time-of-day restriction) is preventing you from logging on. For assistance, contact your system administrator or technical support.
„Keine Anmeldung per Remotedesktop von außerhalb der Active Directory Gesamtstruktur möglich“ weiterlesen

Automatische Erneuerung manuell beantragter Zertifikate ohne Eingriff eines Zertifikatmanagers

Angenommen, man setzt einen Use Case für Zertifikate ein, bei denen die Benutzer die im Zertifikat enthaltene Identität in der Zertifikatanforderung angeben, und hierdurch ein manuelles Eingreifen der Zertifikatmanager erfolgen muss, stellt sich die Frage, wie bei Ablauf der Zertifikate oder Umzug der Zertifikatvorlage auf eine andere Zertifizierungsstelle vorgegangen werden kann, um Tickets beim Helpdesk und damit die entstehende Arbeit für die Zertifikatmanager auf ein Minimum reduzieren zu können.

„Automatische Erneuerung manuell beantragter Zertifikate ohne Eingriff eines Zertifikatmanagers“ weiterlesen

Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann

Nachfolgend möchte ich eine der breiten Öffentlichkeit vielleicht nicht unbedingt bekannte hochgefährliche PKI-Konfiguration vorstellen, die so in Unternehmensnetzwerken wahrscheinlich recht häufig angetroffen werden kann.

Ich zeige auf, wie durch Ausnutzung verschiedener unglücklicher Umstände in der Windows-PKI eine Erhöhung von Rechten, ausgehend von bloßem Netzwerkzugang bis hin zur vollständigen Übernahme des Active Directory möglich ist.

Der initiale Angriffspunkt ist in diesem Beispiel der Registrierungsdienst für Netzwerkgeräte (NDES).

„Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann“ weiterlesen