Jump to content

Was macht ihr mit dem Administrator-User auf dem W2000-Server


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

mit meinem letzten Beitrag kam ich nicht viel weiter. Es stellt wohl ein Sicherheitsrisiko dar, den Administrator-User auf dem Server eingerichtet zu lassen.

Daher meine Frage: Wie machen das andere, und welches ist die beste Lösung?

Ich meine, der Administrator-User wird doch benötigt, um diverse Programme etc. auf dem Server zu installieren, eben zur Administration. Gleichzeitig kann man sich aber am Administrator-User über die Domäne von jedem client aus beliebieg oft versuchen anzumelden, das ist doch ein Sicherheitsrisiko. Wenn ich den User "administrator" aber vom Server entferne bekomme ich automatisch Probleme bei späteren Installationen und Eingriffen ins System.

Hat mir jemand einen Tipp, wie man am besten mit dem Administrator auf dem Server verfährt?

Ich habe schon einen zweiten Account, der auch Domänen-Admin ist, könnte also locker den Administrator-Zugriff auf 2-3 Rechner beschränken, aber das soll man ja auch nicht.

Was also tun??

Link zu diesem Kommentar

Hallo,

Das Administratorkonto umzubenennen, bringt kaum was, da jeder User an Hand der SID auch das umbenannte Adminkonto identifizieren kann.

 

Die Kennwörter von Administrator-Konten sollten nach dem 4 Augenprinzip erstellt werden und in einen Tresor geschlossen werden. Das sind Notfallkonten, die im Normalfall keinesfalls benutzt werden. Zum Installieren etc. dürfen nur persönlich zuordbare Konten verwendet werden, die eben in den entsprechenden Admin-Gruppen Mitglieder sind.

 

Will man die Sicherheit weiter erhöhen, kann man Smartcards für Mitglieder der Administratorengruppen einsetzen. Ebenso kann man Netzwerkscans durchführen, ob jemand noch versucht, mit Administrator-Konten zu arbeiten.

 

Letztlich Unterbinden kann man die Verwendung von Adminkonten nur, wenn der Chef eine entsprechende Arbeitsanweisung mit Konsequenzen herausgibt.

 

cu

blub

Link zu diesem Kommentar
Das Administratorkonto umzubenennen, bringt kaum was, da jeder User an Hand der SID auch das umbenannte Adminkonto identifizieren kann

Im Prinzip ja, aber gegen Tools, die übers Netzwerk (sei es RAS oder sonst wie) versuchen, Kennwortattaken zu reiten, ohne vorher SIDs gefunden zu haben, frei nach dem Hacker-Motto "versuchen wir es mal mit dem Benutzer Administrator, den haben 95% der Leute nicht umbenannt", hilft das schon.

Oder noch besser: die meisten schützen ihren SNMP Dienst nicht, Auslesen der Benutzerliste mit entsprechenden Tools (LanGuard, IPNetworkbrowser etc.) bringt bei einem Placebo-Administrator solche Leute eher noch auf eine falsche Spur.

Wohlgemerkt, einen Namen bekomme ich schneller heraus, eine SID wird schon schwieriger, aber dann hat blub recht, dann hilft auch kein Umbenennen mehr.

 

grizzly999

Link zu diesem Kommentar

Wenn ich das PSEUDO-Adminkonto oder irgendein UserKonto (und in welcher Domäne gibt es z.B. kein Konto "Test" :rolleyes: ) geknackt habe, habe ich 3 Mausklicks später den Accountnamen des echten Administrators.

Wenn ich in meiner Domäne komplexe Passwortregeln durchsetze, dann führt mit heutiger Rechnerkapazität auch keine PW-Attacke auf ein Konto zum Ziel. Werden die PW-Regeln nicht eingehalten, hilft auch das Umbenennen des Adminaccounts nur wenig. (eigentlich nur, wenn der Angreifer überhaupt keinen Account aus der Domäne kennt)

 

cu

blub

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...