Jump to content

Built-In Administrator auf Server daktivieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Der einzig kritische Aspekt im Artikel. In typischen, mittelständischen Unternehmen sollte man das Attribut doch mit den richtigen Berechtigungen versehen können? Ein entsprechendes Tool, um die Berechtigungen des Attributs auslesen zu können liefert LAPS doch sogar mit.

 

Der Aspekt gelesen werden zu können... Jep..

 

"In dem hier diskutierten Szenario könnte es ausreichen, eine Vorgabe zum manuellen Setzen eines komplexen Kennworts zu machen...... Man könnte auch etwas LAPS-Ähnliches selbst bauen, z.B. einen Task, der lokal ein Kennwort generiert, es setzt und an einen geschützten Ort schreibt....."

 

... Das bringt mich auf eine Idee  :)

 

.Net bringt die Möglichkeit Daten zu verschlüsseln (System.Security.Cryptography), so müsste keine andere Software eingesetzt werden. Hier könnte ein Powershell-Skript geschrieben werden, welches ein Passwort generiert, lokal setzt, die Daten verschlüsselt und im Computer-Objekt ablegt. 

 

Nils, das wäre doch wieder ein Blog Eintrag wert bei Dir, oder? ;)  

Link zu diesem Kommentar

Hier könnte ein Powershell-Skript geschrieben werden, welches ein Passwort generiert, lokal setzt, die Daten verschlüsselt und im Computer-Objekt ablegt. 

 

Das Skript regelmäßig als Task laufen lassen und die verschlüsselten Passwörter auf ein Sharefile oder in eine DB schreiben. Nur mit dem Private-Key kommt man an die echten PWs ran.

Das geht sogar super gut :-).

Ist leider nicht mein Skript, daher kann ich es nicht rausgeben.

Link zu diesem Kommentar

Hallo zusammen,

 

es scheint wohl nicht wirklich Sinn zu machen den built-in admin zu deaktivieren (ohne andere Baustellen aufzureißen).

Somit bleibe ich bei unserer implementierten Lösung, den built-in admin aktiv zu behalten, ein komplexes Passwort automatisiert zu vergeben und dieses durch unsere "Privileged Identity Management Suite" verwalten zu lassen (das funktioniert auch bei DMZ-Server ohne AD).

 

Vielen Dank für eure Zeit und die Beiträge.

Schönes Wochenende

Takis

Link zu diesem Kommentar

Moin,

 


Nils, das wäre doch wieder ein Blog Eintrag wert bei Dir, oder? wink.gif  

 

nur zu.

 

Den Artikel kenne ich. Allerdings ist doch:

[...]

der einzig kritische Aspekt im Artikel.

 

ja, sicher. Man kann auch sagen, wenn jemand in den Urlaub fährt und seine Terrassentür offen lässt: Er hat doch alles richtig gemacht, das einzige was man kritisieren kann, ist die Terrassentür.

 

Also, ich weiß nicht, welche Unternehmen du so kennst. Von den Unternehmen, die ich in den letzten 20 Jahren in der IT betreut habe, würde ich es keinen fünf Prozent zutrauen, die LAPS-Prozesse umfassend und dauerhaft umzusetzen.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

nur zu.

 

Das wird mich zwar einige Nächte kosten aber einen guten Beitrag zur Sicherheit und IT-Community beitragen. :)  Vielleicht ist es auch was für den TO. Ich melde mich wieder hier, sobald es Neuerungen gibt. Vorschläge wo die Passwörter verschlüsselt abgelegt werden können, nehme ich gerne an.

bearbeitet von MurdocX
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...