mriess 10 Geschrieben 21. August 2006 Melden Teilen Geschrieben 21. August 2006 Hallo zusammen, möchte gern mal eure Kreativität herausfordern. Frage: Was kann man mit einem Administratoraccount alles machen (oder auch anstellen), das sich sicherheitskritisch auswirkt? Bin gespannt... Zitieren Link zu diesem Kommentar
Der-Sensenmann 10 Geschrieben 21. August 2006 Melden Teilen Geschrieben 21. August 2006 eigentlich alles..... hängt natürlich vom wissen des users ab :) Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 21. August 2006 Melden Teilen Geschrieben 21. August 2006 Für was willst du das wissen? Zitieren Link zu diesem Kommentar
mriess 10 Geschrieben 21. August 2006 Autor Melden Teilen Geschrieben 21. August 2006 Natürlich weiß ich, daß damit "alles" möglich ist. Als Sicherheitsbeauftragter möchte ich aber die Mitarbeiter und Vorgesetzten besser sensibilisieren und dabei Details aufführen. Z.B. weiß ich nicht genau, ob ein lokaler Administrator bspw. das Kennwort des Domänen-Admins herausbekommt usw. Also bitte... Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 21. August 2006 Melden Teilen Geschrieben 21. August 2006 Hi, ok also geht es dir um potentielle Gefahren wenn normale User Administrative Rechte auf Ihren Maschinen haben? Vorweg, das Domänenadmin PW bekommt auch ein lokaler Admin nicht einfach so raus. Es sei denn es ist "zufällig" das gleiche :-) Gefahren: - Der User kann alles mit seinem Rechner und den darauf befindlichen Dateien anstellen - Generell ist es für Viren und Würmer viel einfacher sich im System einzunisten und gut zu verstecken. - Administratoren können i. d. R. Virenscanner und Firewalls deaktivieren - Es können beliebige (illegale?) Programme ohne Abnahme z. B. durch den ISO installiert werden - Ein lokaler Admin kann sich den Inhalt von (lokalen) Profilen anderer User anschauen - ein lokaler Admin kann "ausversehen" sein OS ziemlich starkt kaputt machen z. B. durch geniale Tipps von weitläufig bekannten "Fachzeitschriften" ... Zitieren Link zu diesem Kommentar
Knopfdruecker 10 Geschrieben 21. August 2006 Melden Teilen Geschrieben 21. August 2006 Hi, mal weiter spinnen ein lokaler Admin kann... Keylogger installieren und auf das PW des Domänen-Admin warten Am Netzwerk sniffen und Mails, Dateien und (unverschlüsselte Mail-)Paßwörter mitloggen "angepaßte" Druckertreiber installieren, und so Schadcode auf Rechnern ausführen, die übers Netz dort drucken wollen hoffen, daß sein Account auch auf anderen Rechnern lokal existiert Partitionierungen verändern Seinen PC aus der Domäne nehmen und so Gruppenrichtlinien verhindern Aber auch ohne Admin-Rechte kann man sich mit ner Boot-CD die SAM hangeln, und auf gespeicherte Paßwörter abklopfen. Ja, das geht. Nein, das wird hier nicht beschrieben Also immer schön das BIOS sperren und vorher Boot-From-CD abschalten...:cool: just my 2 Cents Knopfdrücker Zitieren Link zu diesem Kommentar
herakles99 10 Geschrieben 11. September 2006 Melden Teilen Geschrieben 11. September 2006 Hallo zusammen,möchte gern mal eure Kreativität herausfordern. Frage: Was kann man mit einem Administratoraccount alles machen (oder auch anstellen), das sich sicherheitskritisch auswirkt? Bin gespannt... Laß mich das mal so beantworten: Mehr als Du glaubst und jemals selbst auch nur erahnst. Warum? Sicherheitseinstellungen sind derart weitreichend und kompliziert, dass selbst Hersteller massive Probleme damit haben. Weshalb sonst gäbe es Mengen an Updates? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 11. September 2006 Melden Teilen Geschrieben 11. September 2006 Die Liste, was er nicht kann, ist wesentlich kürzer ... :D Zitieren Link zu diesem Kommentar
XP-Fan 219 Geschrieben 11. September 2006 Melden Teilen Geschrieben 11. September 2006 Hallo, der Admin ist der Herrscher über die EDV. Es gibt keine Grenze und ihm ist alles erlaubt ( betr. Computer ). So war es, so ist es und so wird es immer sein :D Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 11. September 2006 Melden Teilen Geschrieben 11. September 2006 Daher auch der Satz der zwar aus der UNIX welt kommt - aber auch für Windows gültig ist: "ich bin root - ich darf das" :D :jau: Zitieren Link zu diesem Kommentar
XP-Fan 219 Geschrieben 11. September 2006 Melden Teilen Geschrieben 11. September 2006 "ich bin root - ich darf das" Das habsch irgendwo schonmal gehört .. :rolleyes: :D Zitieren Link zu diesem Kommentar
herakles99 10 Geschrieben 12. September 2006 Melden Teilen Geschrieben 12. September 2006 Hallo, der Admin ist der Herrscher über die EDV. Es gibt keine Grenze und ihm ist alles erlaubt ( betr. Computer ). So war es, so ist es und so wird es immer sein :D Stimmt! Aber welchen Admin meinst Du? Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 12. September 2006 Melden Teilen Geschrieben 12. September 2006 ich denke bisher reden wird vom lokalen admin und das reicht doch auch schon Zitieren Link zu diesem Kommentar
mriess 10 Geschrieben 13. September 2006 Autor Melden Teilen Geschrieben 13. September 2006 Nun Leute, grundsätzlich gebe ich euch da ja recht. Aber ein "ich bin root, ich darf das" kann ich keinem Mitarbeiter verklickern und schon gar nicht meinem Chef. Also müssen klare Argumente her, was jemand als ADS-user machen kann, der Adminrechte auf den lokalen PC hat. Sorry, aber so pauschal kann ich das nicht stehen lassen. Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 13. September 2006 Melden Teilen Geschrieben 13. September 2006 Mahlzeit mriess, lies mal hier weiter: http://www.mcseboard.de/security-deutschland-sicher-netz-47/taegliche-arbeit-administratorrechten-keine-gute-idee-66853.html LG Gadget Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.