Domäne identifizieren
 

Gibt es für eine Domäne eine Art Checksumme/Identifizierungssumme die nicht nachgebildet werden kann und die ich überprüfen kann?

Sinn davon ist das eine Anwendung sicherstellen muß das der Anwender sich noch an eine Domäne (Name bekannt) anmelden darf (Regelmäßige Prüfung da i.d.R. Offline-Betrieb). Es soll aber auch verhindert werden das er einfach selbst eine "Testdomäne" mit diesem Namen erstellt und sich dagegen anmeldet.

Re: Domäne identifizieren
 

hat eine Domäne nicht auch einen SID?

Re: Domäne identifizieren
 

Kann man die nicht fälschen (Einfach überbügeln, da ja auch nur eine GUID)?
Bei normalen geklonten PC's kann man denen (sogar mit Offizieller MS-Software) eine neue eindeutige Rechner-GUID geben.

Re: Domäne identifizieren
 

Hallo,

klar kann man einem DC eine neue SID verpassen, es geht mit dem gleichen Tool wie für 'normale' PCs,
aber einer Domäne? Unter W2K3 kann man es jedenfalls nicht und erst recht nicht wenn ADS genutzt wird.
Das hängt aber mit SID innerhalb der Domäne und den RID's zusammen.
Rein technisch gesehen mag es möglich sein, kann aber vom Aufwand her betrachtet vernachlässigt werden.
Man bedenke nur wieviele Registryeinträge auf allen beteiligten Servern geändert werden müssen um den
gewünschten Erfolg zuhaben und dann soll die Domäne auch noch weiter funktionieren.
Dazu kommt noch, dass die GIUD Weltweit einmalig sein muss, falls auch nur ein DC eine Verbindung in das
Internet hat.
Auch aus Sicht des Clonen, oder Imagetechniken wärs du auf der sicheren Seite, den damit etwas vernüftiges
zum laufen zubekommen(aus Domänensicht) ist fast unmöglich. Dazu gibt es aber genug nachzulesen in den
Newsgroups der in Frage kommenden Server-OS.
Eine Ausnahme möchte ich aber doch noch anfügen, Desaster-Recovery.
Gibt es eine genügend kleine Anzahl von Servern, 2-3 und es exestiert ein Desaster-Recovery, ist es durchaus
möglich, das jemand(sofern der Zugriff auf die Dateträger moglich ist) mittels dieser Datenträger die Domäne
auf einem zweiten System, virtuell oder auch physisch, nachstellt.
Diesem Szenario kann man entgegen wirken, in dem gegen die Hardwareeigenschaften geprüft wird.

Gruß

Re: Domäne identifizieren
 

Der "Bösewicht" durfte ja zu seinen alten "guten" Zeiten sich ins Realnetz einwählen (Böse bedeutet er hat die Firma gewechselt und will die Anwendung immer noch verwenden). Hier hohlt er sich nun diese Domain-SID und erstellt eine Mini-Domain (Nur Domaincontroller mit "gepatchter" SID des Orginalsystems.

Wenn nun die Anwendung diese "böse" Domain gegen die SID prüft scheint alles OK zu sein und der Zugriff wird erlaubt.
Und HW-Eigenschaften des Servers von Client aus zu prüfen wird schwer möglich sein (Anwender ist ja kein Domänen-Admin um entsprechende Infos vom Server abzuprüfen).

Re: Domäne identifizieren
 

um die sid zu prüfen welche geprüft wird muss er ja einen blick ins programm wagen (disassembler). Und Wenn er das kann so kann er es auch raus patchen. Solange er also die SID nicht kennt und nicht in der Lage ist diese heraus zu finden sollte es sicher sein (und wenn er es einmal raus gefunden hat muss er immer noch einen Domaincontroller finden dem man eine sid fest zuweisen kann - wenn er das wissen hat so ist die wahrscheinlichkeit auch wieder recht hoch das er die abfrage patchen kann).

Re: Domäne identifizieren
 

Moin Bernhard,

wenn offline mit dem Programm gearbeitet werden kann, stellt sich mir die Frage nach dem Sinn der Prüfung.
Oder muss sich in regelmässigen Abständen an einer Domäne angemeldet werden?
(erinnert mich irgendwie an Vista ;-))

Re: Domäne identifizieren
 

Sicherlich kann man jeden Zugriffsschutz "patchen". Man kann den Schutz nur möglichst schwer zu entfernen machen.

Genau, siehe erster Post:

Re: Domäne identifizieren
 

Moin Berhard,

aus der "regelmässigen Prüfung", und den übrigen Informationen, hatte ich herausgelesen, dass regelmässig geprüft wird, ob ein User sich an der Domäne anmelden könnte ;-)