Dayworker 10 Geschrieben 29. September 2022 Melden Teilen Geschrieben 29. September 2022 Hallo zusammen, ich bekomme immer wieder die Frage gestellt.....Soll man den Domain Administrator aktiviert lassen oder lieber deaktivieren? Gearbeitet wird mit diesem Account nicht, ich gehe mal davon aus, dass wenn ein Angriff kommt, der gezielt auf diesen Domain Admin gehen würde. Mich würde mal interessieren, wie Ihr darüber denkt. Vielen Dank Dayworker Zitieren Link zu diesem Kommentar
NorbertFe 2.050 Geschrieben 29. September 2022 Melden Teilen Geschrieben 29. September 2022 vor 58 Minuten schrieb Dayworker: Soll man den Domain Administrator aktiviert lassen oder lieber deaktivieren? Hast du mal versucht den zu deaktivieren? ;) Hat einen Grund, warum das nicht (so einfach) geht. Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.940 Geschrieben 29. September 2022 Melden Teilen Geschrieben 29. September 2022 (bearbeitet) Moin, einem Angreifer wird es in der Regel ziemlich egal sein, welchen Admin-Account er übernimmt. Er wird den nehmen, den er am leichtesten übernehmen kann. Ob das der vordefinierte oder ein anderer ist, ist dabei ohne Belang. Es kommt also darauf an, dass Admin-Accounts sehr gute Kennwörter haben, was in der Praxis einfach heißt: Sehr lange. Gruß, Nils bearbeitet 29. September 2022 von NilsK Zitieren Link zu diesem Kommentar
LK28 11 Geschrieben 29. September 2022 Melden Teilen Geschrieben 29. September 2022 Ich würde noch hinzufügen, dass vor allem die Domain Admin Accounts gefährdet sind, mit denen auf den Clients Support geleistet wird. (falls das bei euch so sein sollte) 1 1 Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 29. September 2022 Melden Teilen Geschrieben 29. September 2022 https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-d--securing-built-in-administrator-accounts-in-active-directory liefert eine Begründung, weshalb der Account nicht deaktiviert werden sollte: Zitat This guide used to recommend disabling the account. This was removed as the forest recovery white paper makes use of the default administrator account. The reason is, this is the only account that allows logon without a Global Catalog Server. Der Artikel empfiehlt einige Einstellungen zur Absicherung. Zitieren Link zu diesem Kommentar
daabm 1.357 Geschrieben 29. September 2022 Melden Teilen Geschrieben 29. September 2022 vor 29 Minuten schrieb mwiederkehr: this is the only account that allows logon without a Global Catalog Server. Ok, und wo ist das noch relevant? Ich hab noch nie einen Forest gesehen, in dem nicht jeder DC auch GC war - aber ich lasse mich gerne aufklären, warum man das noch machen sollte Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 29. September 2022 Melden Teilen Geschrieben 29. September 2022 vor 1 Stunde schrieb LK28: Ich würde noch hinzufügen, dass vor allem die Domain Admin Accounts gefährdet sind, mit denen auf den Clients Support geleistet wird. (falls das bei euch so sein sollte) Der DomAdmin sollte dafür natürlich NICHT verwendet werden. LAPS könnte man z.B. dafür einsetzen. Zitieren Link zu diesem Kommentar
cj_berlin 1.323 Geschrieben 29. September 2022 Melden Teilen Geschrieben 29. September 2022 vor einer Stunde schrieb daabm: Ok, und wo ist das noch relevant? Ich hab noch nie einen Forest gesehen, in dem nicht jeder DC auch GC war - aber ich lasse mich gerne aufklären, warum man das noch machen sollte Du würdest Dich wundern, wie viele "Verzeichnisdienst-Architekten" und Admins sich in den Design-Workshops den Sachverhalt noch erklären lassen... Das gleiche bei der Platzierung von FSMO-Rollen 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.050 Geschrieben 29. September 2022 Melden Teilen Geschrieben 29. September 2022 Böhmische Dörfer ;) Zitieren Link zu diesem Kommentar
NilsK 2.940 Geschrieben 29. September 2022 Melden Teilen Geschrieben 29. September 2022 Moin, Und dass es keinen PDC mehr gibt. Aber wir schweifen ab Gruß, Nils Zitieren Link zu diesem Kommentar
MurdocX 952 Geschrieben 30. September 2022 Melden Teilen Geschrieben 30. September 2022 vor 16 Stunden schrieb Dayworker: Mich würde mal interessieren, wie Ihr darüber denkt. Versuche sie Domänen-Admin Gruppe leer zu bekommen und zu halten. Delegiere einen Benutzer zu dieser Gruppe, damit du im Nachhinein wieder einen hinzufügen kannst. Delegiere die täglichen administrativen Tasks an andere Gruppen, wie z.B. den Helpdesk. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 30. September 2022 Melden Teilen Geschrieben 30. September 2022 Es ist zumindest keine schlechte Idee den echten "Administrator" umzubenennen und einen neuen Fake-Administrator anzulegen. Da können sich Script-Kiddies u.U. austoben. Zitieren Link zu diesem Kommentar
NilsK 2.940 Geschrieben 30. September 2022 Melden Teilen Geschrieben 30. September 2022 Moin, hmja, kann man machen, aber in Wirklichkeit ist das Schlangenöl. Wer "den" Administrator angreifen will, kann ihn leicht anhand seines RID -500 identifizieren, egal, wie der Account heißt. In den allermeisten Situationen wird man "den" Administrator aber gar nicht angreifen müssen. Wichtig ist, dass der Account wirksam geschützt ist. Und dafür ist und bleibt die wichtigste Maßnahme, ihm ein sehr langes Kennwort zu geben. Es gibt noch weitere sinnvolle Maßnahmen, aber ohne diese hier kann man die alle vergessen. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.323 Geschrieben 30. September 2022 Melden Teilen Geschrieben 30. September 2022 vor 5 Minuten schrieb NilsK: Wichtig ist, dass der Account wirksam geschützt ist. Und dafür ist und bleibt die wichtigste Maßnahme, ihm ein sehr langes Kennwort zu geben ...und das Konto danach möglichst nicht mehr zu benutzen, außer im Notfall. vor 6 Minuten schrieb NilsK: hmja, kann man machen, aber in Wirklichkeit ist das Schlangenöl. Wer "den" Administrator angreifen will, kann ihn leicht anhand seines RID -500 identifizieren, egal, wie der Account heißt ...und genau deswegen sollte man es auch lassen. Im Troubleshooting-Fall behindert es den dazugerufenen Externen mehr als im Angriffsfall den Angreifer. 3 Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 30. September 2022 Melden Teilen Geschrieben 30. September 2022 (bearbeitet) Und wenn man schon dabei ist, sollte man das Password vom krbtgt-Konto regelmäßig ändern. Damit werden etwaig ausgestellte oder erlangte "Golden Tickets" ungültig. PS: Man muss ein mindestens 2x ändern (hatte ich vergessen) https://blog.quest.com/what-is-krbtgt-and-why-should-you-change-the-password/ bearbeitet 30. September 2022 von zahni Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.