Hamza Raya: SAM Account

Hallo

Ich hab irgendwo mal in den Sicherheitsrichtlinien rumgestöbert und hab einen Punkt gefudnen der hiesst "Anonymes Aufzählen von SAM Accounts zulassen".

Nun habe ich zwei Fragen

1. Was ist ein SAM Account ?
2. Warum sollte dieses anonyme Aufzählen verweigert werden ? Warum stellt dies eine Sicherheitsgefahr dar ?

Bin dankbar für jede Antwort

Gruss
H. Raya

  1. Hallo Hamza

    Ich hab irgendwo mal in den Sicherheitsrichtlinien rumgestöbert und hab einen Punkt gefudnen der hiesst "Anonymes Aufzählen von SAM Accounts zulassen".

    1. Was ist ein SAM Account ?

    Ein Benutzerkonto unter Windows NT und Nachfolgern,
    welche das sind, siehe </archiv/> :)

    1. Warum sollte dieses anonyme Aufzählen verweigert werden ? Warum stellt dies eine Sicherheitsgefahr dar ?

    Um Dich anmelden zu können, benötigst Du zwei Angaben:

    - Benutzername
      - Passwort

    Wenn Du mit anonymen Zugriff bereits die Benutzernamen aufzählen darfst, dann hast Du bereits eine Information von zwei, die Du brauchst. Mit etwas "social engineering" oder "brute force" oder Wörterbuchangriffen beschaffst Du Dir die zweite Information.

    Deswegen solltest Du bei einem Login-Skript auch stets als Fehlermeldung ausgeben:
    Benutzername oder Passwort war falsch ...

    Freundliche Grüsse,

    Vinzenz