Jump to content
Sign in to follow this  
Axelino

Was macht ihr mit dem Administrator-User auf dem W2000-Server

Recommended Posts

Hallo,

mit meinem letzten Beitrag kam ich nicht viel weiter. Es stellt wohl ein Sicherheitsrisiko dar, den Administrator-User auf dem Server eingerichtet zu lassen.

Daher meine Frage: Wie machen das andere, und welches ist die beste Lösung?

Ich meine, der Administrator-User wird doch benötigt, um diverse Programme etc. auf dem Server zu installieren, eben zur Administration. Gleichzeitig kann man sich aber am Administrator-User über die Domäne von jedem client aus beliebieg oft versuchen anzumelden, das ist doch ein Sicherheitsrisiko. Wenn ich den User "administrator" aber vom Server entferne bekomme ich automatisch Probleme bei späteren Installationen und Eingriffen ins System.

Hat mir jemand einen Tipp, wie man am besten mit dem Administrator auf dem Server verfährt?

Ich habe schon einen zweiten Account, der auch Domänen-Admin ist, könnte also locker den Administrator-Zugriff auf 2-3 Rechner beschränken, aber das soll man ja auch nicht.

Was also tun??

Share this post


Link to post

Hi!

 

Was gibt es eigentlich für ein Prob?

 

Da der Admin sicherlich mit einem SICHEREN Passwort geschützt ist und das nicht jeder benutzen kann, wird er halt nur für die Inst's benutzt!

 

Und daran sollte sich JEDER halten der Zugriff auf das Profil hat!

Share this post


Link to post

@ bigzorro

Genau! Schlicht, aber wirksam. ;)

 

Und dazu ein Konto "Administrator" mit null Rechten, als Lockvogel. :D

 

Damian

Share this post


Link to post

Also ich benenne den Adminaccount um und gebe dem Gastaccount den Namen

Administrator! :wink2:

Das sollte ungebetene Gäste ein wenig verwirren und den Adminaccount entlarvt

an Hand des Namens auch niemand, weil er wie ein normaler Anwender-Account

benannt ist.

 

 

Gruß cdis

Share this post


Link to post

Hallo,

Das Administratorkonto umzubenennen, bringt kaum was, da jeder User an Hand der SID auch das umbenannte Adminkonto identifizieren kann.

 

Die Kennwörter von Administrator-Konten sollten nach dem 4 Augenprinzip erstellt werden und in einen Tresor geschlossen werden. Das sind Notfallkonten, die im Normalfall keinesfalls benutzt werden. Zum Installieren etc. dürfen nur persönlich zuordbare Konten verwendet werden, die eben in den entsprechenden Admin-Gruppen Mitglieder sind.

 

Will man die Sicherheit weiter erhöhen, kann man Smartcards für Mitglieder der Administratorengruppen einsetzen. Ebenso kann man Netzwerkscans durchführen, ob jemand noch versucht, mit Administrator-Konten zu arbeiten.

 

Letztlich Unterbinden kann man die Verwendung von Adminkonten nur, wenn der Chef eine entsprechende Arbeitsanweisung mit Konsequenzen herausgibt.

 

cu

blub

Share this post


Link to post
Das Administratorkonto umzubenennen, bringt kaum was, da jeder User an Hand der SID auch das umbenannte Adminkonto identifizieren kann

Im Prinzip ja, aber gegen Tools, die übers Netzwerk (sei es RAS oder sonst wie) versuchen, Kennwortattaken zu reiten, ohne vorher SIDs gefunden zu haben, frei nach dem Hacker-Motto "versuchen wir es mal mit dem Benutzer Administrator, den haben 95% der Leute nicht umbenannt", hilft das schon.

Oder noch besser: die meisten schützen ihren SNMP Dienst nicht, Auslesen der Benutzerliste mit entsprechenden Tools (LanGuard, IPNetworkbrowser etc.) bringt bei einem Placebo-Administrator solche Leute eher noch auf eine falsche Spur.

Wohlgemerkt, einen Namen bekomme ich schneller heraus, eine SID wird schon schwieriger, aber dann hat blub recht, dann hilft auch kein Umbenennen mehr.

 

grizzly999

Share this post


Link to post

Wenn ich das PSEUDO-Adminkonto oder irgendein UserKonto (und in welcher Domäne gibt es z.B. kein Konto "Test" :rolleyes: ) geknackt habe, habe ich 3 Mausklicks später den Accountnamen des echten Administrators.

Wenn ich in meiner Domäne komplexe Passwortregeln durchsetze, dann führt mit heutiger Rechnerkapazität auch keine PW-Attacke auf ein Konto zum Ziel. Werden die PW-Regeln nicht eingehalten, hilft auch das Umbenennen des Adminaccounts nur wenig. (eigentlich nur, wenn der Angreifer überhaupt keinen Account aus der Domäne kennt)

 

cu

blub

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...