Jump to content

Domain Administrator deaktivieren oder aktiviert lassen?

Dayworker

Von Dayworker
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Dayworker Proficient

Dayworker   10

Geschrieben
Geschrieben

Hallo zusammen,

 

ich bekomme immer wieder die Frage gestellt.....Soll man den Domain Administrator aktiviert lassen oder lieber deaktivieren?

Gearbeitet wird mit diesem Account nicht, ich gehe mal davon aus, dass wenn ein Angriff kommt, der gezielt auf diesen Domain Admin gehen würde.

 

Mich würde mal interessieren, wie Ihr darüber denkt.

 

Vielen Dank

 

Dayworker

NilsK Grand Master

NilsK   2.978

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

einem Angreifer wird es in der Regel ziemlich egal sein, welchen Admin-Account er übernimmt. Er wird den nehmen, den er am leichtesten übernehmen kann. Ob das der vordefinierte oder ein anderer ist, ist dabei ohne Belang.

Es kommt also darauf an, dass Admin-Accounts sehr gute Kennwörter haben, was in der Praxis einfach heißt: Sehr lange.

 

Gruß, Nils

 

bearbeitet von NilsK
mwiederkehr Veteran

mwiederkehr   388

Geschrieben
Geschrieben

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-d--securing-built-in-administrator-accounts-in-active-directory liefert eine Begründung, weshalb der Account nicht deaktiviert werden sollte:

Zitat

This guide used to recommend disabling the account. This was removed as the forest recovery white paper makes use of the default administrator account. The reason is, this is the only account that allows logon without a Global Catalog Server.

 

Der Artikel empfiehlt einige Einstellungen zur Absicherung.

daabm Grand Master

daabm   1.386

Geschrieben
Geschrieben
vor 29 Minuten schrieb mwiederkehr:

this is the only account that allows logon without a Global Catalog Server.

 

Ok, und wo ist das noch relevant? Ich hab noch nie einen Forest gesehen, in dem nicht jeder DC auch GC war - aber ich lasse mich gerne aufklären, warum man das noch machen sollte :-)

Sunny61 Grand Master

Sunny61   816

Geschrieben
Geschrieben
vor 1 Stunde schrieb LK28:

Ich würde noch hinzufügen, dass vor allem die Domain Admin Accounts gefährdet sind, mit denen auf den Clients Support geleistet wird. (falls das bei euch so sein sollte)

Der DomAdmin sollte dafür natürlich NICHT verwendet werden. LAPS könnte man z.B. dafür einsetzen.

cj_berlin Veteran

cj_berlin   1.401

Geschrieben
Geschrieben
vor einer Stunde schrieb daabm:

 

Ok, und wo ist das noch relevant? Ich hab noch nie einen Forest gesehen, in dem nicht jeder DC auch GC war - aber ich lasse mich gerne aufklären, warum man das noch machen sollte :-)

Du würdest Dich wundern, wie viele "Verzeichnisdienst-Architekten" und Admins sich in den Design-Workshops den Sachverhalt noch erklären lassen... 

Das gleiche bei der Platzierung von FSMO-Rollen :-) 

  • Haha 1
MurdocX Veteran

MurdocX   965

Geschrieben
Geschrieben
vor 16 Stunden schrieb Dayworker:

Mich würde mal interessieren, wie Ihr darüber denkt.

Versuche sie Domänen-Admin Gruppe leer zu bekommen und zu halten. Delegiere einen Benutzer zu dieser Gruppe, damit du im Nachhinein wieder einen hinzufügen kannst.

 

Delegiere die täglichen administrativen Tasks an andere Gruppen, wie z.B. den Helpdesk.

NilsK Grand Master

NilsK   2.978

Geschrieben
Geschrieben

Moin,

 

hmja, kann man machen, aber in Wirklichkeit ist das Schlangenöl. Wer "den" Administrator angreifen will, kann ihn leicht anhand seines RID -500 identifizieren, egal, wie der Account heißt. In den allermeisten Situationen wird man "den" Administrator aber gar nicht angreifen müssen.

 

Wichtig ist, dass der Account wirksam geschützt ist. Und dafür ist und bleibt die wichtigste Maßnahme, ihm ein sehr langes Kennwort zu geben. Es gibt noch weitere sinnvolle Maßnahmen, aber ohne diese hier kann man die alle vergessen.

 

Gruß, Nils

 

  • Like 1
cj_berlin Veteran

cj_berlin   1.401

Geschrieben
Geschrieben
vor 5 Minuten schrieb NilsK:

Wichtig ist, dass der Account wirksam geschützt ist. Und dafür ist und bleibt die wichtigste Maßnahme, ihm ein sehr langes Kennwort zu geben

...und das Konto danach möglichst nicht mehr zu benutzen, außer im Notfall.

vor 6 Minuten schrieb NilsK:

hmja, kann man machen, aber in Wirklichkeit ist das Schlangenöl. Wer "den" Administrator angreifen will, kann ihn leicht anhand seines RID -500 identifizieren, egal, wie der Account heißt

...und genau deswegen sollte man es auch lassen. Im Troubleshooting-Fall behindert es den dazugerufenen Externen mehr als im Angriffsfall den Angreifer.

  • Like 3
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...