taotao

Wir kennen Programme, mit denen kann die Kennwörter auf Rechnern zurücksetzen, löschen, ein neue eingeben. Der Rechner wird dazu z.B. von einer CD gestartet. Eines mit dem man ein sicheres Kennwort, komplex, aus dem AD auslesen kann, dechiffrieren, das ist mir nicht bekannt. Bei einem Kennwort wie mama wird das wohl möglich sein. Falls er ein sicheres PW möchte, muss es den Komplexitätsanfoderungen ensprechen, mindestens acht Zeichen, alphanumerisch, Groß- und Kleinschreibung, Sonderzeichen. Nun, es wird dort wohl Vorschrift sein, die PW dem obersten Administrator im verschlossenen Umschlag zu übergeben.

 

Off-Topic:

Das was geschrieben, berichtet, das liest sich sehr seltsam. Wer, was ist da unterwegs? Ich geh da mal aus dem Kreis, höre von draussen mit.

Es könnte auch so wie du sagst gewesen sein, dass er einfach sein Passwort zurückgesetzt hat.:o

Das würde ich gerne sehen, wie jemand aus einem laufenden AD Passwörter einfach "ausliest"...

Ich habe dass nicht so genau mitbekommen, aber ich meine er hat von der CD gebooted, der PC war wohl ein Domänencontroler. Das Programm könnte auch von Novell gewesen sein, ich weiß es nicht so genau.

Intrusion Detection ist ein ziemlich fortgeschrittenes Thema und kaum jemandem zu vermitteln, der nicht sonderlich tief in der Materie ist. Ohne genauere Kenntnis der Strukturen kann man sowieso wenig sagen. Wie sehen die Angriffe aus? Wird sein Rechner angegriffen oder nur sein Account für Angriffe benutzt? usw. usf.

 

 

 

Mit einer derartigen Pauschalierung wäre ich SEHR vorsichtig...

 

 

 

Woher weißt du, dass dieser "Angriff", falls es denn einer war, mit seinem Account durchgeführt wurde?

 

Gruß

 

woiza

Ich versuche ihn bald genauer zu fragen.

Wie sieht solch ein Angriff denn aus, welche Auswirkungen hat er?

Ich werde ihn in den Tagen wieder treffen und versuche ihn dazu genauer zu fragen.

ist denn der Rechner auch mal auf Keylogger geprüft worden ?

Das mit dem Keylogger kann ich ihm ja mal vorschlagen, ähm wie überprüft man dass denn?

ist denn der Rechner auch mal auf Keylogger geprüft worden ?

 

Normalerweise sind Kennwörter doch nicht öffentlich zu handhaben.

 

Irgendwie kommt mir das alles sehr spanisch vor.

Hallo,

ich habe selber in meiner Fortbilding gesehen dass jemand mit einem Norton-Programm was über 10000 Euro kostet(oder 30000, war natürlich eine Kopie) Passwörter aus dem Activedirectory auslesen konnte. Er hat dass gemacht um sein eigenes Passwort wieder zu finden. Natürlich könnte man sagen er soll sein System neu installieren, aber da haben wir gerade eine Gruppenarbeit (Irgendwelche Active-Directory Fälle mit übergeordneten Domänen und so) gemacht und wir brauchten sein Rechner.

Was ist darunter zu verstehen?

Kennt denn jemand sein Kennwort?

Und dafür gibt es klare Indizien?

 

Eine fachmännische Konfiguration des Loggings, die ist aber vorher notwendig.

Hallo,

er arbeitet in einer Firma und ist kein ausgebildeter Informaitker, er hat sich selber vieles bei gebracht, deshalb meinte ich halbwegs. Z.B. wusste er nicht was eine APIPA ist. Dafür kennt viele andere Sachen in der Administration.

Es gibt klare Indizien, da er sich mal unbeliebt gemacht hatte, weil er mal seine Meinung gesagt hat und noch andere die will hier nicht sagen.

Letztes mal war er bei einer wichtigen Sache verantwortlich dass bestimmte Daten von einem Server abgerufen werden kann. Als so weit war ging plötzlich der Server auf einmal nicht mehr, er hatte aber zum Glück einen Notfallplan. Auch da wollte man ihn wohl vorführen. Das ist natürlich traurig, vielleicht ist auch alles nur zufall aber er selber sagt mir dass er kein Zufall sein kann.

Hallo,

 

wie wärs mal mit einer Änderung der Admin Kennwörter als erstes ?

Das habe ich auch vorgeschlagen.

Es gibt mehrere Administratoren, es könnte auch ein Admin sein. Viel wichtiger ist es den Angreifer aufzuspühren, denn der hat sich bestimmt schon selber einen Benuter eingerichtet. Die andere Sache ist dass der Angreifer bei einem Passwort wechsel wieder versuchen wird ihn anzugreifen. Auch ist die Frage wie er es geschafft hat das Passwort zu finden. Ich habe da mal Praktikum gemacht und einer der Admin konnte mir mein Passwort sagen, also besser gesagt er hat beim Telefon was vor sich hingemurmelt was sich nach meinen Passwort anhörte, als darum ging warum ich so wenig Benutzerrechte hatte.

Natürlich wird er sein Passwort ändern, aber irgendwie muss man den Angreifer aufspühren oder Fallen stellen.

Der sitzt bestimmt im gleichen Gebäude (200 Mitarbeiter).

Hallo,

mein Bekannter arbeitet halbwegs als Administrator und wird vermutlich intern als auch extern angegriffen. Die benutzten Windows 2000- und Windows XP-Clients, zusätzlich gibt es einen Linux Server und Windows Domänencontroller. In seinen Büro ist ein Windows2000 und ein Windows XP Clientrechner.

Ab und zu muss er sein Rechner auch am Wochenende laufen lassen und da ist normalerweise Keiner in der Arbeit. Das Protokoll vom Domänencontroller meldet dass er sich am Samstag abgemeldet hat und wieder angemeldet hat. Er war aber Samstag wie immer nicht im Büro und hatte auch abgeschlossen.

Bevor er sich abgemeldet hat gab es auch Netzwerkstörungen im Intranet obwohl da am Samstag so gut wie kein Betrieb ist. Er vermutet dass sein Rechner überflutet worden ist, er hatte da so ein Wort gesagt der mir aber jetzt nicht einfällt.

Das war nicht das erste Mal dass das passiert ist.

Komischerweise ist der Samstag im Domänencontroller nicht protokolliert die anderen Samstage schon.

Er vermutet dass jemand anderes sich für eine kurze Zeit unter seinen Namen angemeldet hat und böse Sachen gemacht und dass alles in seinen Namen als Admin.

Wenn Ihr mehr Informationen braucht, versuche ich die von ihm zu bekommen.

Auf jeden Fall müssen die Angreifer aufgespürt werden, vielleicht mit irgendwelchen Tools?