Jump to content
Sign in to follow this  
mriess

Ideensammlung: Was kann ein Adminaccount alles anrichten?

Recommended Posts

Hallo zusammen,

möchte gern mal eure Kreativität herausfordern.

 

Frage:

Was kann man mit einem Administratoraccount alles machen (oder auch anstellen), das sich sicherheitskritisch auswirkt?

 

Bin gespannt...

Share this post


Link to post

Natürlich weiß ich, daß damit "alles" möglich ist. Als Sicherheitsbeauftragter möchte ich aber die Mitarbeiter und Vorgesetzten besser sensibilisieren und dabei Details aufführen.

 

Z.B. weiß ich nicht genau, ob ein lokaler Administrator bspw. das Kennwort des Domänen-Admins herausbekommt usw.

 

Also bitte...

Share this post


Link to post

Hi,

 

ok also geht es dir um potentielle Gefahren wenn normale User Administrative Rechte auf Ihren Maschinen haben?

 

Vorweg, das Domänenadmin PW bekommt auch ein lokaler Admin nicht einfach so raus. Es sei denn es ist "zufällig" das gleiche :-)

 

Gefahren:

- Der User kann alles mit seinem Rechner und den darauf befindlichen Dateien anstellen

- Generell ist es für Viren und Würmer viel einfacher sich im System einzunisten und gut zu verstecken.

- Administratoren können i. d. R. Virenscanner und Firewalls deaktivieren

- Es können beliebige (illegale?) Programme ohne Abnahme z. B. durch den ISO installiert werden

- Ein lokaler Admin kann sich den Inhalt von (lokalen) Profilen anderer User anschauen

- ein lokaler Admin kann "ausversehen" sein OS ziemlich starkt kaputt machen z. B. durch geniale Tipps von weitläufig bekannten "Fachzeitschriften"

...

Share this post


Link to post

Hi, mal weiter spinnen

 

ein lokaler Admin kann...

 

  • Keylogger installieren und auf das PW des Domänen-Admin warten
  • Am Netzwerk sniffen und Mails, Dateien und (unverschlüsselte Mail-)Paßwörter mitloggen
  • "angepaßte" Druckertreiber installieren, und so Schadcode auf Rechnern ausführen, die übers Netz dort drucken wollen
  • hoffen, daß sein Account auch auf anderen Rechnern lokal existiert
  • Partitionierungen verändern
  • Seinen PC aus der Domäne nehmen und so Gruppenrichtlinien verhindern

 

Aber auch ohne Admin-Rechte kann man sich mit ner Boot-CD die SAM hangeln, und auf gespeicherte Paßwörter abklopfen. Ja, das geht. Nein, das wird hier nicht beschrieben

Also immer schön das BIOS sperren und vorher Boot-From-CD abschalten...:cool:

 

just my 2 Cents

 

Knopfdrücker

Share this post


Link to post
Hallo zusammen,

möchte gern mal eure Kreativität herausfordern.

 

Frage:

Was kann man mit einem Administratoraccount alles machen (oder auch anstellen), das sich sicherheitskritisch auswirkt?

 

Bin gespannt...

Laß mich das mal so beantworten:

Mehr als Du glaubst und jemals selbst auch nur erahnst.

Warum?

Sicherheitseinstellungen sind derart weitreichend und kompliziert, dass selbst Hersteller massive Probleme damit haben. Weshalb sonst gäbe es Mengen an Updates?

Share this post


Link to post

Hallo,

 

der Admin ist der Herrscher über die EDV.

Es gibt keine Grenze und ihm ist alles erlaubt ( betr. Computer ).

So war es, so ist es und so wird es immer sein :D

Share this post


Link to post

Daher auch der Satz der zwar aus der UNIX welt kommt - aber auch für Windows gültig ist:

 

"ich bin root - ich darf das" :D :jau:

Share this post


Link to post
Hallo,

 

der Admin ist der Herrscher über die EDV.

Es gibt keine Grenze und ihm ist alles erlaubt ( betr. Computer ).

So war es, so ist es und so wird es immer sein :D

 

Stimmt!

Aber welchen Admin meinst Du?

Share this post


Link to post

Nun Leute,

grundsätzlich gebe ich euch da ja recht. Aber ein

"ich bin root, ich darf das"

kann ich keinem Mitarbeiter verklickern und schon gar nicht meinem Chef.

Also müssen klare Argumente her, was jemand als ADS-user machen kann, der Adminrechte auf den lokalen PC hat.

 

Sorry, aber so pauschal kann ich das nicht stehen lassen.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...