Jump to content
porki

lokalen Admin auf den Clients zu löschen, sinnvoll?

Recommended Posts

Hallo,

macht es Sinn in einer Active Directory Umgebung den lokalen Admin auf den Clients zu löschen oder zu deaktivieren?

Ein Kollege möchte aus Sicherheitsgründen den lokalen Admin löschen.

Haltet Ihr das für sinnvoll, falls nicht warum nicht?

Edited by porki
verschrieben

Share this post


Link to post

Hi Porki, 

du solltest immer einen lokalen User auf dem System haben, quasi für den Notfall (z.b. Verlust der Vertrauensstellung), dann muss das System nicht direkt neu installiert werden.

Um dem Sicherheitsanliegen deines Kollegen entgegen zu kommen, kannst du den Standard User "Administrator" umbenennen und deaktivieren.

Als neuen lokalen Admin solltet ihr euch eine Namenskonvention überlege und standardisieren z.B. "lokadmin", "lokaler_admin", "notadmin", oder ähnliches.

Wichtig ist auch hier der regelmäßige Passwortwechsel, z.b. durch Microsoft LAPS 

Share this post


Link to post
vor 1 Stunde schrieb porki:

Ein Kollege möchte aus Sicherheitsgründen den lokalen Admin löschen.

 

_Den_ lokalen Admin kann man sowieso nicht wirklich löschen. (Ja ich weiß). Wie wärs denn mit deaktivieren, oder wie stellt der Kollege es sich vor, als Admin ranzukommen, wenn man keine Domäne mehr hat?

Share this post


Link to post

Moin,

 

Den User kann man nicht löschen. Das Umbenennen kann man machen, ist aber wirkungslos. Der sinnvollste Weg ist, dem Account ein sehr starkes Kennwort (eins pro Rechner)  zu geben und ihn danach eben nicht zu verwenden.

 

Gruß Nils

Share this post


Link to post

Danke für eure Antworten.

vor 6 Minuten schrieb NorbertFe:

_Den_ lokalen Admin kann man sowieso nicht wirklich löschen. (Ja ich weiß). Wie wärs denn mit deaktivieren, oder wie stellt der Kollege es sich vor, als Admin ranzukommen, wenn man keine Domäne mehr hat?

Der stellt sich das so vor, mit einem Windows Start USB das System zu starten und dann den lokalen Admin darüber hinzuzufügen, bzw. zu aktivieren. Ob so was geht, weiß ich nicht. Wenn löschen nicht geht, dann muss er den deaktiviert haben, ich schaue mir das morgen mal genauer an.

Edited by porki

Share this post


Link to post

Moin,

 

Stellt sich ja auch irgendwie die Frage, wozu das gut sein soll.

 

Gruß, Nils

Share this post


Link to post
Gerade eben schrieb NilsK:

Moin,

 

Stellt sich ja auch irgendwie die Frage, wozu das gut sein soll.

 

Gruß, Nils

Das habe ich ihn auch gefragt, er meint aus Sicherheitsgründen.

Share this post


Link to post
vor 1 Stunde schrieb porki:

Ein Kollege möchte aus Sicherheitsgründen den lokalen Admin löschen.

vor 7 Minuten schrieb porki:

Das habe ich ihn auch gefragt, er meint aus Sicherheitsgründen.

Um die Sicherheit der Clients zu erhöhen gibt es viele Möglichkeiten in Windows. Manchmal auch Lizenzabhängig. Vor was wollt Ihr euch denn schützen?

 

PS: Ich würde den Ansatz genau umdrehen, um Sicherheit zu erreichen.

Edited by MurdocX

Share this post


Link to post
vor 1 Minute schrieb MurdocX:

Um die Sicherheit der Clients zu erhöhen gibt es viele Möglichkeiten in Windows. Manchmal auch Lizenzabhängig. Vor was wollt Ihr euch denn schützen?

Er meint, wenn ein Mitarbeiter mal über seine Schulter schaut und er nicht aufmerksam ist, dann hätte er das lokale Passwort für jeden PC.

Share this post


Link to post
vor 8 Minuten schrieb porki:

Er meint, wenn ein Mitarbeiter mal über seine Schulter schaut und er nicht aufmerksam ist, dann hätte er das lokale Passwort für jeden PC.

1. Sicherheitsmaßnahme -> Keine identischen lokalen Passwörter!

Passendes Produkt -> LAPS 

 

Msxfaq | LAPS - Local Admin Password Solution

https://www.msxfaq.de/windows/endpointsecurity/laps.htm

 

it-pirate | Microsoft Local Administrator Password Solution

https://de.it-pirate.eu/microsoft-local-administrator-password-solution-laps/

 

Alles hat Vor- und Nachteile. Die sollte man vorher lesen und verstehen. Das Produkt ist kostenlos.

Share this post


Link to post
vor 2 Stunden schrieb porki:

Er meint, wenn ein Mitarbeiter mal über seine Schulter schaut und er nicht aufmerksam ist, dann hätte er das lokale Passwort für jeden PC

Und bei domänenkonten kann sowas nicht passieren? ;)

Share this post


Link to post
2 hours ago, porki said:

Danke für eure Antworten.

Der stellt sich das so vor, mit einem Windows Start USB das System zu starten und dann den lokalen Admin darüber hinzuzufügen, bzw. zu aktivieren. Ob so was geht, weiß ich nicht. Wenn löschen nicht geht, dann muss er den deaktiviert haben, ich schaue mir das morgen mal genauer an.

Wenn man physischen Zugang zu einem Rechner hat hat man meist Möglichkeiten das System zu knacken. Hier hilft dann normalerweise nur die Verschlüsslung des Systems.

 

Man muss sich überlegen, gegen was man sich schützen möchte und leitet daraus Maßnahmen ab. Möglichkeiten und Angriffsvektoren gibt es viele.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...