Speichern der lokalen Anmeldeinformationen - LSA
Vorwort
Um die Wahrscheinlichkeit von Enttarnung und Missbrauch von Kennwörtern
zu verringern, müssen Windows Server 2003,
Windows 2000 und Windows XP Kennwörter sicher speichern. Um ein Höchstmaß
an Kennwortintegrität zu
gewährleisten, können Kennwörter auf der Domänenebene im
Active Directory gespeichert werden. Damit aber jeder
Server Benutzer authentifizieren kann, ohne auf das Active Directory angewiesen
zu sein, speichert Windows Server 2003
lokal eine separate Datenbank mit Anmeldeinformationen: die lokale Sicherheitsautorität
(Local Security Authority, LSA).
Die LSA ist für Folgendes zuständig:
Verwalten der lokalen
Sicherheitsrichtlinien
Authentifizieren
von Benutzern
Erstellen von Zugriffstokens
Steuern von Überwachungsrichtlinien
Die sensiblen, von der LSA gespeicherten Informationen heißen auch LSA-Schlüssel. LSA-Schlüssel enthalten:
Kennwörter für Vertrauensstellungen
Benutzernamen
Kennwörter
Kennwörter für
Dienstkonten
Namen von Dienstkonten
LSA-Schlüssel lassen sich von jedem Sicherheitsprinzipal
extrahieren, der über das Benutzerrecht "Debuggen von Programmen"
verfügt.
Um LSA-Schlüssel noch besser zu schützen, können Sie das Programm
"Syskey.exe" verwenden, welches den Inhalt der LSA mithilfe
eines öffentlichen und eines privaten Schlüssels weiter verschlüsselt.
Nur Administratoren können das Programm "Syskey.exe" ausführen.
Zusätzliche Informationen über das Programm Syskey erhalten Sie aus
der MS Knowledgebase Artikel 310105
Erstellt von: Haßlinger Stefan
Im: Jahr 2006