Bundestags-knack, Univention Blog-Eintrag

[Daniel Laczi]

Hi Martin,

sorry, das tut mir Leid. Normalerweise sende ich als HTML und Text. Beim
Umstellen auf reinen Text habe ich wohl HTML only erwischt :D. Hier noch
einmal der Inhalt:

Hi Bernhard,

der Artikel ist ganz interessant. Mir fallen dazu noch ein paar mehr
Sachen ein, die der normale Windows Administrator wahrscheinlich nicht
weiß, z. B. dass sich das Passwort des KRBTGT-Serviceaccounts eigentlich
nie ändert (bis auf einen speziellen Fall) und dass die verwendeten
Hashingalgorithmen für die Passwörter veraltet sind.

Dass das alles wenig bekannt ist, liegt zum einen daran, dass MS
Software nicht offen ist. Zum anderen wird bei MS sehr viel automatisch
und über einfache grafische Oberflächen konfiguriert, was dazu führen
kann, dass ein Administator nicht versteht, was das System genau macht.
Ein Administrator, der Kerberos unter Linux installiert, muss sich erst
einmal in die Materie einlesen und verstehen was er nun überhaupt alles
machen muss. Unter Windows installiert der Administrator die Active
Directory DC Rolle mit ein paar Klicks und weiß danach vielleicht nicht
einmal, dass er nun auch ein Kerberos installiert hat. Wie soll er sich
dann vor Angriffen dagegen schützen?

Algorithmen können meiner Meinung nach nur sicher sein, wenn sie frei
und für jeden nachvollziehbar sind. Ob diese aber nun in free oder
closed Software implementiert sind und was von beiden sicherer ist, mag
ich nicht beurteilen. Die Software sollte aber in beiden Fällen richtig
administriert und maintained werden, damit sie sicher bleibt.

Mit freundlichen Grüßen
Daniel Laczi

Am 30.06.2015 um 21:25 schrieb Martin Gollowitzer:
> Hallo Daniel!
>
> Leider ist Deine Nachricht so gut wie unlesbar, da sie HTML-only ist.
> Bitte passe Deinen MUA an, sodass er Nachrichten als Plaintext
> versendet.
>