Jump to content

Domain Administrator deaktivieren oder aktiviert lassen?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich bekomme immer wieder die Frage gestellt.....Soll man den Domain Administrator aktiviert lassen oder lieber deaktivieren?

Gearbeitet wird mit diesem Account nicht, ich gehe mal davon aus, dass wenn ein Angriff kommt, der gezielt auf diesen Domain Admin gehen würde.

 

Mich würde mal interessieren, wie Ihr darüber denkt.

 

Vielen Dank

 

Dayworker

Link zu diesem Kommentar

Moin,

 

einem Angreifer wird es in der Regel ziemlich egal sein, welchen Admin-Account er übernimmt. Er wird den nehmen, den er am leichtesten übernehmen kann. Ob das der vordefinierte oder ein anderer ist, ist dabei ohne Belang.

Es kommt also darauf an, dass Admin-Accounts sehr gute Kennwörter haben, was in der Praxis einfach heißt: Sehr lange.

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-d--securing-built-in-administrator-accounts-in-active-directory liefert eine Begründung, weshalb der Account nicht deaktiviert werden sollte:

Zitat

This guide used to recommend disabling the account. This was removed as the forest recovery white paper makes use of the default administrator account. The reason is, this is the only account that allows logon without a Global Catalog Server.

 

Der Artikel empfiehlt einige Einstellungen zur Absicherung.

Link zu diesem Kommentar
vor einer Stunde schrieb daabm:

 

Ok, und wo ist das noch relevant? Ich hab noch nie einen Forest gesehen, in dem nicht jeder DC auch GC war - aber ich lasse mich gerne aufklären, warum man das noch machen sollte :-)

Du würdest Dich wundern, wie viele "Verzeichnisdienst-Architekten" und Admins sich in den Design-Workshops den Sachverhalt noch erklären lassen... 

Das gleiche bei der Platzierung von FSMO-Rollen :-) 

Link zu diesem Kommentar
vor 16 Stunden schrieb Dayworker:

Mich würde mal interessieren, wie Ihr darüber denkt.

Versuche sie Domänen-Admin Gruppe leer zu bekommen und zu halten. Delegiere einen Benutzer zu dieser Gruppe, damit du im Nachhinein wieder einen hinzufügen kannst.

 

Delegiere die täglichen administrativen Tasks an andere Gruppen, wie z.B. den Helpdesk.

Link zu diesem Kommentar

Moin,

 

hmja, kann man machen, aber in Wirklichkeit ist das Schlangenöl. Wer "den" Administrator angreifen will, kann ihn leicht anhand seines RID -500 identifizieren, egal, wie der Account heißt. In den allermeisten Situationen wird man "den" Administrator aber gar nicht angreifen müssen.

 

Wichtig ist, dass der Account wirksam geschützt ist. Und dafür ist und bleibt die wichtigste Maßnahme, ihm ein sehr langes Kennwort zu geben. Es gibt noch weitere sinnvolle Maßnahmen, aber ohne diese hier kann man die alle vergessen.

 

Gruß, Nils

 

Link zu diesem Kommentar
vor 5 Minuten schrieb NilsK:

Wichtig ist, dass der Account wirksam geschützt ist. Und dafür ist und bleibt die wichtigste Maßnahme, ihm ein sehr langes Kennwort zu geben

...und das Konto danach möglichst nicht mehr zu benutzen, außer im Notfall.

vor 6 Minuten schrieb NilsK:

hmja, kann man machen, aber in Wirklichkeit ist das Schlangenöl. Wer "den" Administrator angreifen will, kann ihn leicht anhand seines RID -500 identifizieren, egal, wie der Account heißt

...und genau deswegen sollte man es auch lassen. Im Troubleshooting-Fall behindert es den dazugerufenen Externen mehr als im Angriffsfall den Angreifer.

Link zu diesem Kommentar

Und wenn man schon dabei ist, sollte man das Password vom krbtgt-Konto regelmäßig ändern. Damit werden etwaig ausgestellte oder erlangte "Golden Tickets" ungültig.

PS: Man muss ein mindestens 2x ändern (hatte ich vergessen)

 

https://blog.quest.com/what-is-krbtgt-and-why-should-you-change-the-password/

bearbeitet von zahni
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...