Axelino 10 Geschrieben 7. November 2003 Melden Teilen Geschrieben 7. November 2003 Hallo, mit meinem letzten Beitrag kam ich nicht viel weiter. Es stellt wohl ein Sicherheitsrisiko dar, den Administrator-User auf dem Server eingerichtet zu lassen. Daher meine Frage: Wie machen das andere, und welches ist die beste Lösung? Ich meine, der Administrator-User wird doch benötigt, um diverse Programme etc. auf dem Server zu installieren, eben zur Administration. Gleichzeitig kann man sich aber am Administrator-User über die Domäne von jedem client aus beliebieg oft versuchen anzumelden, das ist doch ein Sicherheitsrisiko. Wenn ich den User "administrator" aber vom Server entferne bekomme ich automatisch Probleme bei späteren Installationen und Eingriffen ins System. Hat mir jemand einen Tipp, wie man am besten mit dem Administrator auf dem Server verfährt? Ich habe schon einen zweiten Account, der auch Domänen-Admin ist, könnte also locker den Administrator-Zugriff auf 2-3 Rechner beschränken, aber das soll man ja auch nicht. Was also tun?? Zitieren Link zu diesem Kommentar
bigzorro 10 Geschrieben 7. November 2003 Melden Teilen Geschrieben 7. November 2003 ich würde das konto umbenennen :D Zitieren Link zu diesem Kommentar
günterf 45 Geschrieben 7. November 2003 Melden Teilen Geschrieben 7. November 2003 Hi! Was gibt es eigentlich für ein Prob? Da der Admin sicherlich mit einem SICHEREN Passwort geschützt ist und das nicht jeder benutzen kann, wird er halt nur für die Inst's benutzt! Und daran sollte sich JEDER halten der Zugriff auf das Profil hat! Zitieren Link zu diesem Kommentar
Damian 1.526 Geschrieben 7. November 2003 Melden Teilen Geschrieben 7. November 2003 @ bigzorro Genau! Schlicht, aber wirksam. ;) Und dazu ein Konto "Administrator" mit null Rechten, als Lockvogel. :D Damian Zitieren Link zu diesem Kommentar
thorgood 10 Geschrieben 7. November 2003 Melden Teilen Geschrieben 7. November 2003 Hi günterf, das will er ja nicht, aber dazu musst du natürlich seinen vorhergehenden Thread kennen. (thread jumping) http://www.mcseboard.de/showthread.php?s=&threadid=17307 Er möchte eine Admin der aber nicht wirklich Admin ist. Zitieren Link zu diesem Kommentar
cdis 10 Geschrieben 7. November 2003 Melden Teilen Geschrieben 7. November 2003 Also ich benenne den Adminaccount um und gebe dem Gastaccount den Namen Administrator! :wink2: Das sollte ungebetene Gäste ein wenig verwirren und den Adminaccount entlarvt an Hand des Namens auch niemand, weil er wie ein normaler Anwender-Account benannt ist. Gruß cdis Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 7. November 2003 Melden Teilen Geschrieben 7. November 2003 Hallo, Das Administratorkonto umzubenennen, bringt kaum was, da jeder User an Hand der SID auch das umbenannte Adminkonto identifizieren kann. Die Kennwörter von Administrator-Konten sollten nach dem 4 Augenprinzip erstellt werden und in einen Tresor geschlossen werden. Das sind Notfallkonten, die im Normalfall keinesfalls benutzt werden. Zum Installieren etc. dürfen nur persönlich zuordbare Konten verwendet werden, die eben in den entsprechenden Admin-Gruppen Mitglieder sind. Will man die Sicherheit weiter erhöhen, kann man Smartcards für Mitglieder der Administratorengruppen einsetzen. Ebenso kann man Netzwerkscans durchführen, ob jemand noch versucht, mit Administrator-Konten zu arbeiten. Letztlich Unterbinden kann man die Verwendung von Adminkonten nur, wenn der Chef eine entsprechende Arbeitsanweisung mit Konsequenzen herausgibt. cu blub Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. November 2003 Melden Teilen Geschrieben 7. November 2003 Das Administratorkonto umzubenennen, bringt kaum was, da jeder User an Hand der SID auch das umbenannte Adminkonto identifizieren kann Im Prinzip ja, aber gegen Tools, die übers Netzwerk (sei es RAS oder sonst wie) versuchen, Kennwortattaken zu reiten, ohne vorher SIDs gefunden zu haben, frei nach dem Hacker-Motto "versuchen wir es mal mit dem Benutzer Administrator, den haben 95% der Leute nicht umbenannt", hilft das schon. Oder noch besser: die meisten schützen ihren SNMP Dienst nicht, Auslesen der Benutzerliste mit entsprechenden Tools (LanGuard, IPNetworkbrowser etc.) bringt bei einem Placebo-Administrator solche Leute eher noch auf eine falsche Spur. Wohlgemerkt, einen Namen bekomme ich schneller heraus, eine SID wird schon schwieriger, aber dann hat blub recht, dann hilft auch kein Umbenennen mehr. grizzly999 Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 7. November 2003 Melden Teilen Geschrieben 7. November 2003 Wenn ich das PSEUDO-Adminkonto oder irgendein UserKonto (und in welcher Domäne gibt es z.B. kein Konto "Test" :rolleyes: ) geknackt habe, habe ich 3 Mausklicks später den Accountnamen des echten Administrators. Wenn ich in meiner Domäne komplexe Passwortregeln durchsetze, dann führt mit heutiger Rechnerkapazität auch keine PW-Attacke auf ein Konto zum Ziel. Werden die PW-Regeln nicht eingehalten, hilft auch das Umbenennen des Adminaccounts nur wenig. (eigentlich nur, wenn der Angreifer überhaupt keinen Account aus der Domäne kennt) cu blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.