Jump to content

Administrator deaktivieren


Direkt zur Lösung Gelöst von cj_berlin,

Empfohlene Beiträge

Moin zusammen,

 

wir hatten ein Sicherheitsaudit (mal wieder) inkl. PEN Test. Der Abschlussbericht enthält die Empfehlung im Active Directory den built-in Administrator zu deaktivieren.
Das ist ja auch nicht gerade eine neue Idee. Wir verwenden den nicht aktiv, nur unsere personalisierten Konten, daher wäre das ohne direkte Probleme nötig.

Wir wollten das schon lange machen, jedoch waren wir uns über mögliche Einschränkungen nicht sicher.

Bei der Recherche gab es nur ein einziges Risiko welches wir gefunden haben und zwar der AD Restore.  Dazu haben wir widersprüchliches gefunden. In einigen Artikeln hieß es der built-in Admin wird auf der Restore Konsole automatisch wieder aktiviert, mal hieß es ohne aktiven User geht es nicht.

Auch dieser Artikel hatte letztes Jahr noch die Empfehlung den User zu deaktivieren, inzwischen wurde das überarbeitet

Appendix D - Securing Built-In Administrator Accounts in Active Directory | Microsoft Learn

Zitat

This guide used to recommend disabling the account. This was removed as the forest recovery white paper makes use of the default administrator account. The reason is, this is the only account that allows logon without a Global Catalog Server.

Auch das forest recovery sollte zuvor das Verhalten haben, dass der User wieder aktiv wird.

Nun bitte ich euch um echte, eigene Erfahrungen dazu. Hat es schon jemand durchgeführt und kann die Widersprüche aufklären?

 

Viele Grüße, Stefan

 

Link zu diesem Kommentar

Die CISA-Empfehlung ist den Administrator umzubenennen. Zusätzlich kann man noch als Honigtopf einen neuen User mit dem Namen "Administrator" ohne Rechte erstellen und den dann im Auge behalten,

Der wird eh immer gern durch irgendwas im Netz gesperrt (z.B. durch lokale Administrator-Konten).

Einen anderen User zum Enterprise-Admin machen, um den "Administrator zu deaktivieren, bringt am Ende keinen Sicherheitsgewinn. 

Link zu diesem Kommentar

Moin,

 

am Ende bleibt es eine Abwägungssache. Es gibt Argumente für und gegen das Deaktivieren. Wichtig ist vor allem, dass man den Account nicht ungeschützt lässt, im Normalbetrieb nicht verwendet und ihm vor allem keine Exchange-Mailbox gibt. Wir waren grad in einem Breach Assessment, wo Letzteres der Angriffsweg war.

 

Gruß, Nils

 

bearbeitet von NilsK
  • Like 1
  • Danke 1
Link zu diesem Kommentar
vor 13 Stunden schrieb daabm:

 

LOL... Get-ADUser "$(( get-addomain -Current LocalComputer ).DomainSID.Value )-500"

Und mit -519 bzw- -512 kannst Du die Enterprise-Admins bzw. Domain-Admins abfragen, insgesamt nur etwas mehr Tipparbeit. Daher bringt ein anderes User-Konto mit den gleichen Rechten nur sehr bedingt etwas.

Nicht umsonst gibt es eine GPO (Admin und Gast umbenennen) dafür.

Die CISA geht wahrscheinlich von externen Angriffen aus, die sich bisher nicht authentifiziert haben.

 

Link zu diesem Kommentar

Moin,

 

die Policy gibt es, weil es Kunden gab, die die formale Anforderung erfüllen mussten. Die Anforderung selbst erzeugt praktisch keinen Sicherheitseffekt. Es gibt ja eine ganze Reihe von Vorgaben, die überholt sind oder sich als effektarm herausgestellt haben. Manche regulierten Unternehmen müssen sie trotzdem umsetzen, weil sie eben reguliert sind.

 

Gruß, Nils

Link zu diesem Kommentar

Oh ich danke euch für die vielen Antworten.

Leider zeigt sich, dass es differenziert betrachtet und abgewogen werden sollte und nicht die eine richtige Antwort gibt.

Ich bin hier gerade in einem Umfeld aktiv, wo der Fall zutrifft: ist vorgegeben, BSI und Co ... 

Eure weiteren Anregungen nehme ich für nachträgliche Verbesserungsideen gerne mit

 

Link zu diesem Kommentar
Am 20.11.2024 um 18:07 schrieb daabm:

Das Umbenennen ist kompletter Quatsch. Es gibt eine LDAP-Funktion "SID Lookup"... Deaktivieren und Shadow Principals nutzen, dann sind die "wertvollen" Gruppen nämlich leer bis auf Break-Glass-Accounts.

Moin Martin,

hast du dazu ("Shadow Principals" und "Break-Glass-Accounts") für mich eine gute Quelle zum nachlesen? 

 

Link zu diesem Kommentar

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...