none
AD Security RRS feed

  • Frage

  • moin,

    mir ist aufgefallen, das ganz normale auth. Benutzer (ohne lokale und ohne Domain Admin Rechte) eigentlich sehr viel - meiner Meinung zu viel - im AD lesen dürfen.

    ist das normal?

    nimmt man sysinternals - adexplorer - sieht man als normal  benuzter alle User und Configurationen.

    ist das nicht ein Sicherheitsproblem?


    Chris

    Sonntag, 29. September 2019 08:48

Antworten

  • Wenn die User nicht zu sehen wären, könnte man ihnen keine Mails mehr senden, da man sie nicht mehr findet. Man muss dann einen eigenen Kontaktordner anlegen. Es sei denn, Exchange synchronsiert diese, dann sehe ich die User allerdings auch.
    Kann man machen, sollte man aber nicht, da Änderungen im AD (z.B. Telefon-Nr.) nicht synchronisiert werden.
    Also gucken kann man da schon, einloggen wird schwierig wenn die Kennworte kompliziert und sicher sind.
    • Als Antwort markiert -- Chris -- Montag, 30. September 2019 09:21
    Sonntag, 29. September 2019 16:21
  • Hi Chris
    Generell ist das so, lesen kann jeder der in der Domain angemeldet ist. Meiner Meinung nach kommt es auf den Inhalt der User Attribute an. Sind diese Daten nicht schützenswert können diese gelesen werden. Dies hängt je nach dem von Gesetzen oder regulatorischen Anforderungen ab welche Daten wie eingestuft werden.

    Gewisse Attribute sind aber ausgeschlossen. Denke da z.B. an Passwörter oder Bitlocker Informationen.

    Gruss,
    DaHa

    • Als Antwort markiert -- Chris -- Montag, 30. September 2019 09:21
    Montag, 30. September 2019 09:20

Alle Antworten

  • Wenn die User nicht zu sehen wären, könnte man ihnen keine Mails mehr senden, da man sie nicht mehr findet. Man muss dann einen eigenen Kontaktordner anlegen. Es sei denn, Exchange synchronsiert diese, dann sehe ich die User allerdings auch.
    Kann man machen, sollte man aber nicht, da Änderungen im AD (z.B. Telefon-Nr.) nicht synchronisiert werden.
    Also gucken kann man da schon, einloggen wird schwierig wenn die Kennworte kompliziert und sicher sind.
    • Als Antwort markiert -- Chris -- Montag, 30. September 2019 09:21
    Sonntag, 29. September 2019 16:21
  • gebe dir grundsätzlich Recht, aber eigentlich müssten nicht alle Attribute für alle User lesbar sein, oder zb. die Exchange und sonstige Konfigurationen. Die müssten nicht für User sondern nur für den Exchange selbst lesbar sein. Dadurch wird ja jedem internen Hacker Tür und Tor für alle Informationen geöffnet. 

    Aber MS wird sich schon etwas dabei gedacht haben. Vermutlich auch zu komplex das umzusetzen.


    Chris

    Sonntag, 29. September 2019 18:11
  • Hi Chris
    Generell ist das so, lesen kann jeder der in der Domain angemeldet ist. Meiner Meinung nach kommt es auf den Inhalt der User Attribute an. Sind diese Daten nicht schützenswert können diese gelesen werden. Dies hängt je nach dem von Gesetzen oder regulatorischen Anforderungen ab welche Daten wie eingestuft werden.

    Gewisse Attribute sind aber ausgeschlossen. Denke da z.B. an Passwörter oder Bitlocker Informationen.

    Gruss,
    DaHa

    • Als Antwort markiert -- Chris -- Montag, 30. September 2019 09:21
    Montag, 30. September 2019 09:20