sobdog 10 Geschrieben 4. Januar 2008 Melden Teilen Geschrieben 4. Januar 2008 Hallo, ich bin derzeit dabei eine W2K3-Domäne aufzubauen und habe nun mehrfach gelesen, dass es sinnvoll ist, den Standard-Domänenadministrator NICHT zu verwenden, sondern direkt einen neuen Administratoraccount anzulegen mit dem man Arbeiten an der Domäne vornimmt. Macht das Sinn? Wenn ja, wieso? Sollte man für jeden Administrator einen eigenen User anlegen oder lieber einen für alle? Vielen Dank! Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 4. Januar 2008 Melden Teilen Geschrieben 4. Januar 2008 Wie wurde der Rat in dem Gelesenen denn begründet? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 4. Januar 2008 Melden Teilen Geschrieben 4. Januar 2008 Servus, Macht das Sinn? Wenn ja, wieso? das ist lediglich sinnvoll, um den internen "möchtegern" Hacker aus der Firma einen Strich zu spielen. Denn dieser glaubt ja, dass er der größte wäre und versucht sich als der "Administrator" in das System reinzu*****n. Er versucht eben dass Kennwort für den Domänen-Administrator mittels einer Brute Force Attacke herauszufinden. Wenn dieser aber nicht der "echte" Domänen-Admin ist, hat er Zeit und Mühe investiert und beim Erfolg, hat er lediglich die Rechte eines z.B. eines Benutzers mit dem Konto. Damit kann er nicht viel anstellen. Der clevere Angreifer versucht sich nicht durch den Namen des Benutzerkontos in das System einzuschleichen (in dem Fall Administrator), sondern durch die SID (S-1-5-Domäne-512). Denn diese ist eindeutig. Der gewiefte Angreifer kennt die Zuordnung der SID genau und hat somit einen Ansatz, mit Tools wie User2Sid eine Brute Force Attacke durchzuführen. Wenn also z.B. der Benutzer "HansDampf" DER Domänen-Administrator ist, reicht es für den Ahnungslosen Angreifer aus, um ihn ins leere laufen zu lassen. Aber für die schweren Jungs, nicht im geringsten. Es ist eine weitere, wenn auch kleinere Hürde für den Angreifer. Du kannst das so machen, aber 100% verlassen solltest du dich natürlich nicht darauf. Sollte man für jeden Administrator einen eigenen User anlegen oder lieber einen für alle? Das verstehe ich nicht, was meinst du damit? Zitieren Link zu diesem Kommentar
marcee 10 Geschrieben 4. Januar 2008 Melden Teilen Geschrieben 4. Januar 2008 Das verstehe ich nicht, was meinst du damit? Ich denke mal, dass er damit meint, ob es Sinn macht, für jede reale Person, die Adminrechte haben soll, auch einen eigenen Administrator im System anzulegen. Zitieren Link zu diesem Kommentar
sobdog 10 Geschrieben 4. Januar 2008 Autor Melden Teilen Geschrieben 4. Januar 2008 Wie wurde der Rat in dem Gelesenen denn begründet? Ich hatte gelesen, dass man für Dienste, etc. nicht den Domänenadministrator verwenden soll, sondern jeweils eigene Accounts angelegen soll, damit man später die Passwörter leichter ändern kann. Zusätzlich kamen teilweise Bemerkungen, wie z.B. "Domänen-Admin-Passwort in den Safe legen und nicht benutzen". Zusätzlich habe ich mal gehört, dass der Standard-Benutzer "Administrator" in der Domäne noch mehr Rechte hat, als ein neuer Benutzer, den ich nur in die Gruppe "Domänen-Admins" tu. Ist das korrekt? Wenn ja, welche? Ist dies vielleicht auch ein Grund, den Benutzer nicht zu nutzen? Ich denke mal, dass er damit meint, ob es Sinn macht, für jede reale Person, die Adminrechte haben soll, auch einen eigenen Administrator im System anzulegen. korrekt! Lassen sich so z.B. eventuell über entsprechende Logfiles nachvollziehen, wer welche Änderung gemacht hat. Eventuell ist das ja mal sinnvoll?! Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 4. Januar 2008 Melden Teilen Geschrieben 4. Januar 2008 Ich denke mal, dass er damit meint, ob es Sinn macht, für jede reale Person, die Adminrechte haben soll, auch einen eigenen Administrator im System anzulegen. Das kann dann aber nur den lokalen Administrator auf dem Client gelten, z.B. mit dem Benutzernamen "HansWurst". Wenn der Benutzer diese Rechte LOKAL benötigt, dann ja. Idealerweise aber natürlich nur soviel Rechte wie nötig. Das bedeutet, wird für eine Applikation Admin-Rechte benötigt, sollte die Applikation angepasst werden und nicht dem Benutzer zuviele Rechte verpasst werden. Soll der Benutzer Rechte in der Domäne erhalten, dann ist es die sinnvollste Variante, dem Benutzer ein weiteres Benutzerkonto zu zuweisen, dem die benötigten Rechte in der Domäne delegiert worden sind. Wenn der Benutzer Arbeiten in der Domäne ausführen muss, meldet er sich mit diesem Benutzerkonto an und sobal er fertig ist, meldet er sich mit seinem normalen Benutzerkonto erneut an. Während der täglichen Arbeit, sollte JEDER - und das zählt die IT ebenso - mit einem Benutzerkonto angemeldet sein, der lediglich Benutzer-Rechte hat. Erst wenn administrative Arbeiten durchgeführt werden sollen, sollte man sich mit einem administrativen Konto anmelden. Siehe: Gruppenrichtlinien - Übersicht, FAQ und Tutorials Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 4. Januar 2008 Melden Teilen Geschrieben 4. Januar 2008 Ich hatte gelesen, dass man für Dienste, etc. nicht den Domänenadministrator verwenden soll, sondern jeweils eigene Accounts angelegen soll, damit man später die Passwörter leichter ändern kann. Das ist korrekt. Diensten gibt man ein Benutzerkonto, dass lediglich die gerade benötigten Rechte erhält. Und nur bei diesen Konten könnte man die Option in den Benutzereigenschaften setzen, dass das Kennwort nie abläuft. Ideal wäre es aber, wenn natürlich auch das Kennwort dieser Konten regelmäßig geändert wird. Zusätzlich kamen teilweise Bemerkungen, wie z.B. "Domänen-Admin-Passwort in den Safe legen und nicht benutzen".Zusätzlich habe ich mal gehört, dass der Standard-Benutzer "Administrator" in der Domäne noch mehr Rechte hat, als ein neuer Benutzer, den ich nur in die Gruppe "Domänen-Admins" tu. Ist das korrekt? Wenn ja, welche? Ist dies vielleicht auch ein Grund, den Benutzer nicht zu nutzen? Die Begründng dazu habe ich bereits in meiner ersten Antwort aufgeführt. Was bringt es mir, wenn ich das Kennwort des Domänen-Admins in den Safe lege und zeitgleich einen zweiten Domänen-Admin einrichte, mit lediglich einem anderen Namen? Entscheidend ist wie gesagt die SID, der Name ist nur Schall und Rauch. Eins ist auch klar, in den Empfehlungen die Microsoft ausgibt, wird oftmals das maximale - wenn auch nicht immer 100%ig anwendbare - aufgeführt, damit die IT-Abteilung zumindest den Gefahren bewußt wird und Maßnahmen ergreift. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 4. Januar 2008 Melden Teilen Geschrieben 4. Januar 2008 es gibt einige Gründe, dass DomainAdminkonto umzubenennen und das PW im versiegelten Umschlag im physikalsichen Safe zu verstauen: einige kritische Aufgaben sollen/ können nur mit dem orginal-Adminaccount durchgeführt werden, d.h. mit SID 500. z.b. - Forestrestore - kann der SID 500 Account sich als einziger noch anmelden, wenn alle User in mehr als 1024 Gruppen enthalten sind (Angriffsszenario) In diesen Fällen muss das AdminPW verfügbar sein. ausserdem - gibt es oft lokale Maschinen, an denen mit lokalen Adminaccount gearbeitet wird. User vergessen aber oft im anmeldefenster zwischen Domäne und Maschine zu wechseln ->SecPolicy schlägt zu und sperrt den Domain-Adminaccount nach x-Versuchen. Gleiches gilt bei vertrusteten Domänen - generell sollten User nur mit personifizierten Accounts arbeiten. In diversen Branchen (z.B. Banken) verlangt das schon die Revision zwecks Nachvollziehbarkeit. - die leicht erhöhte Security ist m.E. ein Nebeneffekt, wei Daim schon geschrieben hat. cu blub Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 4. Januar 2008 Melden Teilen Geschrieben 4. Januar 2008 Hm, ich versuche es mal. Es gibt die Gruppen der Administratoren und Domänen-Admins. Diesen Gruppen kann man jeden beliebigen User zuordnen. Ein extra Anlegen von speziellen Usern ist also nicht zwingend nötig, möglich ist es aber. Man kann anordnen, ein Admin darf administrative Arbeiten nur mit einem speziellen Benutzernamen ausführen, dieser gehört den Domänenadmins an. Ob das wirklich Sicherheit bringt? Für die Arbeiten am Domänencontroller kann man einen Benutzernamen der Gruppe der Administratoren zuordnen. Man den Benutzer Administrator auch umbenennen, dafür muss eine bestimmte Richtlinie aktiviert werden. Warum das aber? Nun, ein zeitweise tätiger externer Hilfsadmin oder ein Illegaler könnte einen Keylogger installieren auf einer Workstation, dieser das Pw von Administrator registrieren und weitergeben. Man mag über diese Möglichkeit streiten, diskutieren kontrovers und auch über die Wirksamkeit der Maßnahme. Früher gingen Benutzernamen und Pw unverschlüsselt über das Netzwerk als Broadcast, also verzichtete der vorsichtige Admin auf Administrator und Supervisor. Heute ist das normalerweise verschlüsselt und wird auch nicht als Broadcast übertragen. Dann ist der "Admin" oft nicht der wirkliche Administrator, er ist Gehilfe des EDV-Beauftragten, jemanden aus der oberen Etage, dieser ist der eigentliche Administrator, bei dem liegt das Pw für Administrator im Safe. Der Beauftragte erstellt das Konto für den Schergenadmin und deligiert dessen Aufgaben. Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 einige kritische Aufgaben sollen/ können nur mit dem orginal-Adminaccount durchgeführt werden, d.h. mit SID 500. z.b. - Forestrestore - kann der SID 500 Account sich als einziger noch anmelden, wenn alle User in mehr als 1024 Gruppen enthalten sind (Angriffsszenario) das hab ich auch schon gehört, schon zu 2000 zeiten. allerdings hat man mir nie genaueres sagen können, warum dem so ist. und welche tätigkeiten das genau sind, konnte man mir auch nicht sagen. vielleicht ist das hier anders? ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.