28
Deaktivierter Administrator (Lokal)
Morgen Zusammen,
der normale OS Client besitzt ja per default immer einen deaktivierten "Administrator", was auch gut so ist!
Im Normalfall legt man ja einen zusätlichen Account an mit Adminrechten damit der native Administrator der mit Erweiterten Rechten ausgestattet ist weiterhin gesperrt bleibt.
Jetzt meine Frage:
Wenn beide Admin-Konten deaktiviert wurden, wie schwer ist es diese über den normalen Benutzer wieder zu aktivieren.
Normalerweise geht es ja nicht?!
Gibt es Fälle die euch bekannt sind wo man den Lokalen-Admin wieder aktivieren konnte obwohl er deaktiviert wurde?!
der normale OS Client besitzt ja per default immer einen deaktivierten "Administrator", was auch gut so ist!
Im Normalfall legt man ja einen zusätlichen Account an mit Adminrechten damit der native Administrator der mit Erweiterten Rechten ausgestattet ist weiterhin gesperrt bleibt.
Jetzt meine Frage:
Wenn beide Admin-Konten deaktiviert wurden, wie schwer ist es diese über den normalen Benutzer wieder zu aktivieren.
Normalerweise geht es ja nicht?!
Gibt es Fälle die euch bekannt sind wo man den Lokalen-Admin wieder aktivieren konnte obwohl er deaktiviert wurde?!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4982611255
Url: https://administrator.de/contentid/4982611255
Printed on: May 5, 2024 at 05:05 o'clock
28 Comments
Latest comment
Hallo,
Grüße
lcer
Zitat von @watIsLos:
Morgen Zusammen,
der normale OS Client besitzt ja per default immer einen deaktivierten "Administrator", was auch gut so ist!
Man kann den eingebauten Administrator auch per GPO umbenennen. https://learn.microsoft.com/de-de/troubleshoot/windows-server/windows-se ...Morgen Zusammen,
der normale OS Client besitzt ja per default immer einen deaktivierten "Administrator", was auch gut so ist!
Im Normalfall legt man ja einen zusätlichen Account an mit Adminrechten damit der native Administrator der mit Erweiterten Rechten ausgestattet ist weiterhin gesperrt bleibt.
Wo erhoffst Du Dir einen relevantenUnterschied dem BuiltIn-Administrator und einem Mitglied der Gruppe Lokale Administratoren?Jetzt meine Frage:
Wenn beide Admin-Konten deaktiviert wurden, wie schwer ist es diese über den normalen Benutzer wieder zu aktivieren.
Normalerweise geht es ja nicht.
Geht nicht ....Wenn beide Admin-Konten deaktiviert wurden, wie schwer ist es diese über den normalen Benutzer wieder zu aktivieren.
Normalerweise geht es ja nicht.
Gibt es Fälle die euch bekannt sind wo man den Lokalen-Admin wieder aktivieren konnte obwohl er deaktiviert wurde?!
... ausser bösen Menschen benutzen Sicherheitslücken oder verschaffen sich Zugang zum (unverschlüsselten) Rechner.Grüße
lcer
Moin,
du kannst als normaler Nutzer unter Windows kein Adminkonto aktivieren.
Ja, es gibt Mittel und Wege die hier nicht besprochen werden. Da ist google dein Freund.
Grüße
du kannst als normaler Nutzer unter Windows kein Adminkonto aktivieren.
Ja, es gibt Mittel und Wege die hier nicht besprochen werden. Da ist google dein Freund.
Grüße
Du kannst auf YouTube folgendes suchen:
windows 10 utilman.exe cmd.exe
Viel Erfolg.
windows 10 utilman.exe cmd.exe
Viel Erfolg.
Das geht (noch immer) ziemlich einfach. Brauchts halt zwingend physischen Zugriff.
Aber dann: neuen Admin anlegen und gewünschte vorhandene Admins wieder aktivieren oder was man halt will.
Aber dann: neuen Admin anlegen und gewünschte vorhandene Admins wieder aktivieren oder was man halt will.
Ach ja, wenn ich die anderen Threads des TOs lese geht es im nicht um den Einbruch, sondern um mögliche Abwehrmaßnahmen. Das wäre zum Beispiel: Bitlocker aktivieren.
Grüße
lcer
Grüße
lcer
1
Ja, natürlich geht es über den Weg, wenn der jenige direkt am PC ist.
Ich meinte das eher von außen.
Ich meinte das eher von außen.
Zitat von @RookieBoy:
Du kannst auf YouTube folgendes suchen:
windows 10 utilman.exe cmd.exe
Viel Erfolg.
Du kannst auf YouTube folgendes suchen:
windows 10 utilman.exe cmd.exe
Viel Erfolg.
1Zitat von @lcer00:
Danke für den Link!
Danach habe ich zwar nicht gefragt trotzdem eine Gute Idee, werde ich auf jeden Fall umsetzen!
Moin,
Aktivieren erst einmal nicht, man könnte sich aber bei physischem Zugriff auf die Gurke einfach einen neuen administrativen User erstellen, der anschließend die anderen Admins aktivieren kann.
Wie? Werde und darf ich hier nicht erläutern.
Also: machbar ist das durchaus ..
VG
Edita:
Ups, den Post von @Xaero1982 gar nicht wahrgenommen, pardon!
Normalerweise geht es ja nicht?!
was ist schon normal?Wenn beide Admin-Konten deaktiviert wurden, wie schwer ist es diese über den normalen Benutzer wieder zu aktivieren.
Die Frage hat ja sicherlich einen bösartigen Hintergrund, also antworte ich auch "mit Hintergrund":Aktivieren erst einmal nicht, man könnte sich aber bei physischem Zugriff auf die Gurke einfach einen neuen administrativen User erstellen, der anschließend die anderen Admins aktivieren kann.
Wie? Werde und darf ich hier nicht erläutern.
Also: machbar ist das durchaus ..
VG
Edita:
Ups, den Post von @Xaero1982 gar nicht wahrgenommen, pardon!
Zitat von @Xaero1982:
Moin,
du kannst als normaler Nutzer unter Windows kein Adminkonto aktivieren.
Ja, es gibt Mittel und Wege die hier nicht besprochen werden. Da ist google dein Freund.
Grüße
Moin,
du kannst als normaler Nutzer unter Windows kein Adminkonto aktivieren.
Ja, es gibt Mittel und Wege die hier nicht besprochen werden. Da ist google dein Freund.
Grüße
Ja, das habe ich mir schon gedacht das über irgendwelche Tools, oder Exploits etc. dieser deaktivierter Zustand doch noch ausgehebelt werden kann, wäre ja auch zu schön...
irgendwelche Tools
geht mit Hausmittelchen die Microsoft direkt mitliefert.Grüße
1
Hmm
DeFakto geht es mit Boardmitteln, ohne zusätzliche Hard (CD oder USB Stick) oder Software, ALLE Accounts zu bearbeiten.
Man muss nur wissen wie.
Und dazu hilft Google.
Es stand/steht auch in vielen Computerzeitschriften. Man muss also nicht in die dunklen Bereiche
Das einzige was dagegen wirkt:
Verschlüsselung.
DeFakto geht es mit Boardmitteln, ohne zusätzliche Hard (CD oder USB Stick) oder Software, ALLE Accounts zu bearbeiten.
Man muss nur wissen wie.
Und dazu hilft Google.
Es stand/steht auch in vielen Computerzeitschriften. Man muss also nicht in die dunklen Bereiche
Das einzige was dagegen wirkt:
Verschlüsselung.
1Zitat von @141986:
Grüße
irgendwelche Tools
geht mit Hausmittelchen die Microsoft direkt mitliefert.Grüße
von Außen?
das es physisch geht, wissen wir ja.
von Außen?
unter ganz gewissen Umständen, würde auch das klappen.Grüße
Zitat von @TomTomBon:
Hmm
DeFakto geht es mit Boardmitteln, ohne zusätzliche Hard (CD oder USB Stick) oder Software, ALLE Accounts zu bearbeiten.
Man muss nur wissen wie.
Und dazu hilft Google.
Es stand/steht auch in vielen Computerzeitschriften. Man muss also nicht in die dunklen Bereiche
Das einzige was dagegen wirkt:
Verschlüsselung.
Hmm
DeFakto geht es mit Boardmitteln, ohne zusätzliche Hard (CD oder USB Stick) oder Software, ALLE Accounts zu bearbeiten.
Man muss nur wissen wie.
Und dazu hilft Google.
Es stand/steht auch in vielen Computerzeitschriften. Man muss also nicht in die dunklen Bereiche
Das einzige was dagegen wirkt:
Verschlüsselung.
Der Rechner ist mit Bitlocker verschlüsselt.
Naja....Exploits und so....es ist fast immer egal, wie man etwas schützt (außer Loctite und Heißkleber sind im Spiel...) wenn man physischen Zugriff drauf hat.
Aber mal ganz konkret:
Gehts dir jetzt darum wie man sich Zugang zum Rechner verschafft oder eher darum, wie du deine Daten schützen kannst?
Ersteres geht relativ leicht, letzteres auch, wenn man die Daten eben verschlüsselt. Obwohl man quasi Zugriff auf die Daten hat kann man dennoch nix damit anfangen. Zumindest wenn die Verschlüsselung passt.
k.
Aber mal ganz konkret:
Gehts dir jetzt darum wie man sich Zugang zum Rechner verschafft oder eher darum, wie du deine Daten schützen kannst?
Ersteres geht relativ leicht, letzteres auch, wenn man die Daten eben verschlüsselt. Obwohl man quasi Zugriff auf die Daten hat kann man dennoch nix damit anfangen. Zumindest wenn die Verschlüsselung passt.
k.
Es geht also um Abwehr.
Wenn Du die Platte verschlüsselst, kannst Du Offlineangriffe, die sich ja über jegliche Rechtestrukturen, die im laufenden Windows greifen, hinwegsetzen, abwehren - gesetz dem Fall, dass der schwache Nutzer, der den Rechner ja weiterhin starten können soll, einen Verschlüsselungsschlüssel bekommt, der eben nur starten kann und nicht etwa entschlüsseln oder gar von fremden Betriebssystemen aus offline mounten.
Bitlocker setzt dies mit der PIN um - Nutzer können mit der PIN nur starten, nicht aber entschlüsseln oder offline manipulieren. Nur der Admin hat das Recoverypasswort, mit dem er bei Bedarf manipulieren kann um z.B. gesperrte Admins zu entsperren. Andere Verschlüsselungen denken zum Teil nicht einmal soweit bzw. erachten diese Funktion als unwichtig, denn Nutzern trauen wir ja zu 100% und Backups haben wir eh.
Ist die Platte unverschlüsselt, ist so eine Reaktivierung offline eine Sache von 2 Minuten.
Wenn Du die Platte verschlüsselst, kannst Du Offlineangriffe, die sich ja über jegliche Rechtestrukturen, die im laufenden Windows greifen, hinwegsetzen, abwehren - gesetz dem Fall, dass der schwache Nutzer, der den Rechner ja weiterhin starten können soll, einen Verschlüsselungsschlüssel bekommt, der eben nur starten kann und nicht etwa entschlüsseln oder gar von fremden Betriebssystemen aus offline mounten.
Bitlocker setzt dies mit der PIN um - Nutzer können mit der PIN nur starten, nicht aber entschlüsseln oder offline manipulieren. Nur der Admin hat das Recoverypasswort, mit dem er bei Bedarf manipulieren kann um z.B. gesperrte Admins zu entsperren. Andere Verschlüsselungen denken zum Teil nicht einmal soweit bzw. erachten diese Funktion als unwichtig, denn Nutzern trauen wir ja zu 100% und Backups haben wir eh.
Ist die Platte unverschlüsselt, ist so eine Reaktivierung offline eine Sache von 2 Minuten.
Zitat von @DerWoWusste:
Es geht also um Abwehr.
Wenn Du die Platte verschlüsselst, kannst Du Offlineangriffe, die sich ja über jegliche Rechtestrukturen, die im laufenden Windows greifen, hinwegsetzen, abwehren - gesetz dem Fall, dass der schwache Nutzer, der den Rechner ja weiterhin starten können soll, einen Verschlüsselungsschlüssel bekommt, der eben nur starten kann und nicht etwa entschlüsseln oder gar von fremden Betriebssystemen aus offline mounten.
Bitlocker setzt dies mit der PIN um - Nutzer können mit der PIN nur starten, nicht aber entschlüsseln oder offline manipulieren. Nur der Admin hat das Recoverypasswort, mit dem er bei Bedarf manipulieren kann um z.B. gesperrte Admins zu entsperren. Andere Verschlüsselungen denken zum Teil nicht einmal soweit bzw. erachten diese Funktion als unwichtig, denn Nutzern trauen wir ja zu 100% und Backups haben wir eh.
Ist die Platte unverschlüsselt, ist so eine Reaktivierung offline eine Sache von 2 Minuten.
Es geht also um Abwehr.
Wenn Du die Platte verschlüsselst, kannst Du Offlineangriffe, die sich ja über jegliche Rechtestrukturen, die im laufenden Windows greifen, hinwegsetzen, abwehren - gesetz dem Fall, dass der schwache Nutzer, der den Rechner ja weiterhin starten können soll, einen Verschlüsselungsschlüssel bekommt, der eben nur starten kann und nicht etwa entschlüsseln oder gar von fremden Betriebssystemen aus offline mounten.
Bitlocker setzt dies mit der PIN um - Nutzer können mit der PIN nur starten, nicht aber entschlüsseln oder offline manipulieren. Nur der Admin hat das Recoverypasswort, mit dem er bei Bedarf manipulieren kann um z.B. gesperrte Admins zu entsperren. Andere Verschlüsselungen denken zum Teil nicht einmal soweit bzw. erachten diese Funktion als unwichtig, denn Nutzern trauen wir ja zu 100% und Backups haben wir eh.
Ist die Platte unverschlüsselt, ist so eine Reaktivierung offline eine Sache von 2 Minuten.
Genau es geht um Abwehr!
Deswegen habe ich auf allen Clients Bitlocker aktiviert, die User haben nicht nur ein PW für den OS-Start bekommen, also für Bitlocker, sondern auch ein PW für die normale Windows Anmeldung. Damit wäre ja wie Du auch schon geschrieben hast der Physische Angriff abgewehrt, so lange der Angreifer das Bitlocker Passwort nicht kennt.
Gegen ein Angriff von außen, sagen wir mal der User klickt auf einen Link, die Firewall und die AV springt darauf nicht an bzw. erkennt den Angriff nicht als solches dagegen hilft ja Bitlocker nicht, da die Platte ja vorher schon entschlüsselt wurde.
Hallo,
Genau. Gegen einen Online-Angriff zum Aktivieren der Konten bzw. zum Erlangen von Lokalen Admin Rechten kannst Du Dich im Grunde nicht spezifisch schützen. Da gelten die allgemeinen Regeln (Updates einspielen, ggf. AV-Software, Rechte nur entsprechend der tatsächlichen Nutzung vergeben etc.)
Grüße
lcer
Zitat von @watIsLos:
Deswegen habe ich auf allen Clients Bitlocker aktiviert, die User haben nicht nur ein PW für den OS-Start bekommen, also für Bitlocker, sondern auch ein PW für die normale Windows Anmeldung. Damit wäre ja wie Du auch schon geschrieben hast der Physische Angriff abgewehrt, so lange der Angreifer das Bitlicker Passwort nicht kennt.
Gegen ein Angriff von außen, sagen wir mal der User klickt auf einen Link, die Firewall und die AV springt darauf nicht an bzw. erkennt den Angriff nicht als solches dagegen hilft ja Bitlocker nicht, da die Platte ja vorher schon entschlüsselt wurde.
Deswegen habe ich auf allen Clients Bitlocker aktiviert, die User haben nicht nur ein PW für den OS-Start bekommen, also für Bitlocker, sondern auch ein PW für die normale Windows Anmeldung. Damit wäre ja wie Du auch schon geschrieben hast der Physische Angriff abgewehrt, so lange der Angreifer das Bitlicker Passwort nicht kennt.
Gegen ein Angriff von außen, sagen wir mal der User klickt auf einen Link, die Firewall und die AV springt darauf nicht an bzw. erkennt den Angriff nicht als solches dagegen hilft ja Bitlocker nicht, da die Platte ja vorher schon entschlüsselt wurde.
Genau. Gegen einen Online-Angriff zum Aktivieren der Konten bzw. zum Erlangen von Lokalen Admin Rechten kannst Du Dich im Grunde nicht spezifisch schützen. Da gelten die allgemeinen Regeln (Updates einspielen, ggf. AV-Software, Rechte nur entsprechend der tatsächlichen Nutzung vergeben etc.)
Grüße
lcer
1
Moin,
Gruß
Doskias
Zitat von @watIsLos:
Gegen ein Angriff von außen, sagen wir mal der User klickt auf einen Link, die Firewall und die AV springt darauf nicht an bzw. erkennt den Angriff nicht als solches dagegen hilft ja Bitlocker nicht, da die Platte ja vorher schon entschlüsselt wurde.
Gegen Angriffe von außen schützt dich eine Firewall im Whitelist-Modus. Wenn der Link erst gar nicht geöffnet werden kann, braucht der Virenscanner nicht aktiv werden. Gegen ein Angriff von außen, sagen wir mal der User klickt auf einen Link, die Firewall und die AV springt darauf nicht an bzw. erkennt den Angriff nicht als solches dagegen hilft ja Bitlocker nicht, da die Platte ja vorher schon entschlüsselt wurde.
Gruß
Doskias
Deswegen habe ich auf allen Clients Bitlocker aktiviert, die User haben nicht nur ein PW für den OS-Start bekommen...
Ein Passwort? Das wäre schlecht. Denn damit kann man solche Angriffe fahren als normaler Nutzer. Du müsstest Ihnen eine PIN geben, die den TPM aufschließt und das Passwort zuvor wieder entfernen.
Also der User hat vor dem Start seine 14 Stelliges Bitlocker-Passwort und danach kommt noch das Windows Passwort.
Was ich nicht verstehe, wieso sollte es statt einem langen Passwort lieber ein Bitlocker-PIN sein den man eingeben muss?
oder haben wir uns hier Missverstanden?!
Was ich nicht verstehe, wieso sollte es statt einem langen Passwort lieber ein Bitlocker-PIN sein den man eingeben muss?
oder haben wir uns hier Missverstanden?!
Hallo,
Mit dem Passwort kann man die Festplatte entschlüsseln - auch die ausgebaute. Mit der PIN entsperrt man das TPM. Das geht also nur, wenn TPM+Festplatte im korrekten PC stecken.
Grüße
lcer
Mit dem Passwort kann man die Festplatte entschlüsseln - auch die ausgebaute. Mit der PIN entsperrt man das TPM. Das geht also nur, wenn TPM+Festplatte im korrekten PC stecken.
Grüße
lcer
Das man mit TPM einen besseren Schutz hat wusste ich auch, man kann es auch ohne TPM laufenlassen, ist dann eben nur verschlüsselt.
So wie ich gelesen habe wird doch der TPM PIN vor dem Start automatisch geprüft und danach erfolgt das Reguläre Passwort über den Benutzer der dann die Festplatte entschlüsselt?!
So wie ich gelesen habe wird doch der TPM PIN vor dem Start automatisch geprüft und danach erfolgt das Reguläre Passwort über den Benutzer der dann die Festplatte entschlüsselt?!
Zitat von @kpunkt:
Das geht (noch immer) ziemlich einfach. Brauchts halt zwingend physischen Zugriff.
Das geht (noch immer) ziemlich einfach. Brauchts halt zwingend physischen Zugriff.
Nicht, wenn man ein Microsoftkonto am System nutzt.
Grüße
Was ich nicht verstehe, wieso sollte es statt einem langen Passwort lieber ein Bitlocker-PIN sein den man eingeben muss?
Du hast extra eine Policy modifiziert, sonst wäre das mit dem Passwort gar nicht erlaubt. Aber zu dem Zeitpukt hast Du dir wohl keine Gedanken darüber gemacht, warum Microsoft das nicht per Default erlaubt. Wie schon gesagt: mit dem Passwort kannst Du entschlüsseln und manipulieren, mit der PIN nicht.So wie ich gelesen habe wird doch der TPM PIN vor dem Start automatisch geprüft
Nein, die PIN wird abgefragt, wie das Kennwort. Die richtige PIN erlaubt das Abrufen des Verschlüsselungsschlüssels aus dem TPM.Per Default ist gar keine PIN zu setzen, das meinst Du wohl. Man muss auch dies erst per Policy fordern: https://www.howtogeek.com/262720/how-to-enable-a-pre-boot-bitlocker-pin- ...
Ja, hast Recht das wurde von mir modifiziert, aber damit nutze ich ja nur den Vorteil mit der Verschlüsselung und nicht noch zusätzlich die TPM Funktion.
Das werde ich auf jeden Fall nochmal anpassen müssen, will nämlich beides nutzen, hat ja sein Sinn!
Auf der Seite wird es eigentlich ganz gut beschrieben wieso man beides aktivieren sollte.
https://learn.microsoft.com/de-de/windows/security/identity-protection/h ...
Das werde ich auf jeden Fall nochmal anpassen müssen, will nämlich beides nutzen, hat ja sein Sinn!
Auf der Seite wird es eigentlich ganz gut beschrieben wieso man beides aktivieren sollte.
https://learn.microsoft.com/de-de/windows/security/identity-protection/h ...
Zitat von @DerWoWusste:
Google sagt dir auch wo du 30L Epoxidharz bekommst, damit schaffst du den nahezu perfekten Schutz gegen physischen Zugriff und wenn du Tastatur und Maus auch mit behandelts sinkt auch das UserRisiko.
Interessant, höre ich zum ersten mal von Epoxidharz :D
Ich denke aber das wir das hier erstmal nicht benötigen, trotzdem danke für diesen Tipp.
Ich denke aber das wir das hier erstmal nicht benötigen, trotzdem danke für diesen Tipp.
