mriess 10 Geschrieben 21. August 2006 Melden Geschrieben 21. August 2006 Hallo zusammen, möchte gern mal eure Kreativität herausfordern. Frage: Was kann man mit einem Administratoraccount alles machen (oder auch anstellen), das sich sicherheitskritisch auswirkt? Bin gespannt... Zitieren
Der-Sensenmann 10 Geschrieben 21. August 2006 Melden Geschrieben 21. August 2006 eigentlich alles..... hängt natürlich vom wissen des users ab :) Zitieren
Dr.Melzer 191 Geschrieben 21. August 2006 Melden Geschrieben 21. August 2006 Für was willst du das wissen? Zitieren
mriess 10 Geschrieben 21. August 2006 Autor Melden Geschrieben 21. August 2006 Natürlich weiß ich, daß damit "alles" möglich ist. Als Sicherheitsbeauftragter möchte ich aber die Mitarbeiter und Vorgesetzten besser sensibilisieren und dabei Details aufführen. Z.B. weiß ich nicht genau, ob ein lokaler Administrator bspw. das Kennwort des Domänen-Admins herausbekommt usw. Also bitte... Zitieren
nerd 28 Geschrieben 21. August 2006 Melden Geschrieben 21. August 2006 Hi, ok also geht es dir um potentielle Gefahren wenn normale User Administrative Rechte auf Ihren Maschinen haben? Vorweg, das Domänenadmin PW bekommt auch ein lokaler Admin nicht einfach so raus. Es sei denn es ist "zufällig" das gleiche :-) Gefahren: - Der User kann alles mit seinem Rechner und den darauf befindlichen Dateien anstellen - Generell ist es für Viren und Würmer viel einfacher sich im System einzunisten und gut zu verstecken. - Administratoren können i. d. R. Virenscanner und Firewalls deaktivieren - Es können beliebige (illegale?) Programme ohne Abnahme z. B. durch den ISO installiert werden - Ein lokaler Admin kann sich den Inhalt von (lokalen) Profilen anderer User anschauen - ein lokaler Admin kann "ausversehen" sein OS ziemlich starkt kaputt machen z. B. durch geniale Tipps von weitläufig bekannten "Fachzeitschriften" ... Zitieren
Knopfdruecker 10 Geschrieben 21. August 2006 Melden Geschrieben 21. August 2006 Hi, mal weiter spinnen ein lokaler Admin kann... Keylogger installieren und auf das PW des Domänen-Admin warten Am Netzwerk sniffen und Mails, Dateien und (unverschlüsselte Mail-)Paßwörter mitloggen "angepaßte" Druckertreiber installieren, und so Schadcode auf Rechnern ausführen, die übers Netz dort drucken wollen hoffen, daß sein Account auch auf anderen Rechnern lokal existiert Partitionierungen verändern Seinen PC aus der Domäne nehmen und so Gruppenrichtlinien verhindern Aber auch ohne Admin-Rechte kann man sich mit ner Boot-CD die SAM hangeln, und auf gespeicherte Paßwörter abklopfen. Ja, das geht. Nein, das wird hier nicht beschrieben Also immer schön das BIOS sperren und vorher Boot-From-CD abschalten...:cool: just my 2 Cents Knopfdrücker Zitieren
herakles99 10 Geschrieben 11. September 2006 Melden Geschrieben 11. September 2006 Hallo zusammen,möchte gern mal eure Kreativität herausfordern. Frage: Was kann man mit einem Administratoraccount alles machen (oder auch anstellen), das sich sicherheitskritisch auswirkt? Bin gespannt... Laß mich das mal so beantworten: Mehr als Du glaubst und jemals selbst auch nur erahnst. Warum? Sicherheitseinstellungen sind derart weitreichend und kompliziert, dass selbst Hersteller massive Probleme damit haben. Weshalb sonst gäbe es Mengen an Updates? Zitieren
IThome 10 Geschrieben 11. September 2006 Melden Geschrieben 11. September 2006 Die Liste, was er nicht kann, ist wesentlich kürzer ... :D Zitieren
XP-Fan 224 Geschrieben 11. September 2006 Melden Geschrieben 11. September 2006 Hallo, der Admin ist der Herrscher über die EDV. Es gibt keine Grenze und ihm ist alles erlaubt ( betr. Computer ). So war es, so ist es und so wird es immer sein :D Zitieren
nerd 28 Geschrieben 11. September 2006 Melden Geschrieben 11. September 2006 Daher auch der Satz der zwar aus der UNIX welt kommt - aber auch für Windows gültig ist: "ich bin root - ich darf das" :D :jau: Zitieren
XP-Fan 224 Geschrieben 11. September 2006 Melden Geschrieben 11. September 2006 "ich bin root - ich darf das" Das habsch irgendwo schonmal gehört .. :rolleyes: :D Zitieren
herakles99 10 Geschrieben 12. September 2006 Melden Geschrieben 12. September 2006 Hallo, der Admin ist der Herrscher über die EDV. Es gibt keine Grenze und ihm ist alles erlaubt ( betr. Computer ). So war es, so ist es und so wird es immer sein :D Stimmt! Aber welchen Admin meinst Du? Zitieren
*Cat* 19 Geschrieben 12. September 2006 Melden Geschrieben 12. September 2006 ich denke bisher reden wird vom lokalen admin und das reicht doch auch schon Zitieren
mriess 10 Geschrieben 13. September 2006 Autor Melden Geschrieben 13. September 2006 Nun Leute, grundsätzlich gebe ich euch da ja recht. Aber ein "ich bin root, ich darf das" kann ich keinem Mitarbeiter verklickern und schon gar nicht meinem Chef. Also müssen klare Argumente her, was jemand als ADS-user machen kann, der Adminrechte auf den lokalen PC hat. Sorry, aber so pauschal kann ich das nicht stehen lassen. Zitieren
Gadget 37 Geschrieben 13. September 2006 Melden Geschrieben 13. September 2006 Mahlzeit mriess, lies mal hier weiter: http://www.mcseboard.de/security-deutschland-sicher-netz-47/taegliche-arbeit-administratorrechten-keine-gute-idee-66853.html LG Gadget Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.