alveiva
Goto Top

Admin aussperren!!!

Hallo habe eine sehr dringende Frage an alle die mich beraten oder helfen können. Wäre euch sehr dankbar!

Es geht um einen SBS 2011 Server mit HyperV. Ich wurde nun dazu Beauftragt unser System zu betreuen, da unser fester Admin sich nicht mehr sehen lässt und auch nun gekündigt wurde.

Mir geht es Prinzipel darum das kein Zugriff seinerseits mer auf das System möglich ist!
Passwort und feste IP ist im bekannt!

Habe bisher erstmal sein Passwort zurückgesetzt um einen Zugriff zu verhindern!

Was ist noch zu tun oder zu überprüfen um gegen nicht seriöse Administratoren geschützt zu sein.

Für eine schnelle Hilfe wäre ich dankbar!

Gruß Thomas

Content-Key: 195535

Url: https://administrator.de/contentid/195535

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: wiesi200
wiesi200 07.12.2012 um 20:54:45 Uhr
Goto Top
Hallo,

kurz um wirklich alle Passwörter ändern.
Sprich Router usw. auch nicht vergessen.
Mitglied: danielfr
danielfr 07.12.2012 um 20:58:52 Uhr
Goto Top
Wenn Du ganz sicher sein willst solltest Du sogar in Erwägung ziehen, das System neu aufzusetzen. Je nachdem wie motiviert und/oder versiert der Exkollege ist (und wie paranoid Du bist), wird es wohl nicht reichen, nur die Passwörter zu ändern.
Auch nicht vergessen, das er sich auch mal ein Backup mitgenommen haben könnte...
Das ist generell immer eine dumme Sache.
Mitglied: 2hard4you
2hard4you 07.12.2012 um 21:03:25 Uhr
Goto Top
Moin,

mal für die Paranoiden - der Backup-Account hat auch Vollzugriff (und muß den auch haben!!!!!!!!!!!!!!) und dann mal das ganze AD durchforsten - und jeden aus der Admingroup rauswerfen, der da nicht rein gehört....

Gruß

24
Mitglied: b.enni
b.enni 07.12.2012 um 21:04:03 Uhr
Goto Top
Hallo Thomas,

ich würde noch gucken, welche anderen Accounts ihm noch bekannt sein könnten. Hier brauchst du dir ja eigentlich nur die Benutzer mit erweiterten Rechten (Admins, Remotebenutzer) anzugucken. Alle Accounts davon, die dir unbekannt sind, würde ich erstmal deaktiveren (irgendwann morgens - damit du im Laufe des Tages noch reagieren kannst) und gucken wer sich evtl. meldet.
Welche Ferzugriffmöglichkeiten gibt es? Ist vielleicht ein Tool dabei, wo das Passwort in den Programmeinstellungen hinterlegt ist (radmin oder Ähnliches)?
Was hostet der HyperV? Was kann er da angreifen?

Natürlich sollte der Zutritt zum Server auch nicht mehr möglich sein...


Grüße,
Benni
Mitglied: Herbrich19
Herbrich19 07.12.2012 um 22:07:38 Uhr
Goto Top
Hallo,

Für die Extrem Paranoiden. Wen der Admin die IP kennt, und technisch Versiert ist könnte ich auch noch Bachdor,s ins System eingebaut haben. Also wer auf nummer sicher gehen will muss / sollte auch die IP-Adresse ändern.

LG, Herbrich
Mitglied: danielfr
danielfr 07.12.2012 um 22:19:20 Uhr
Goto Top
Für die Extrem Paranoiden. Wen der Admin die IP kennt, und technisch Versiert ist könnte ich auch noch Bachdor,s ins
System eingebaut haben. Also wer auf nummer sicher gehen will muss / sollte auch die IP-Adresse ändern.
Das geht aber Dank Ammy, Teamviewer, weiteren Tools die ähnlich funktionieren und Reverse Shells auch ganz ohne das die IP bekannt sein muss.
Mitglied: Herbrich19
Herbrich19 08.12.2012 um 00:12:29 Uhr
Goto Top
Hallo

Das geht aber Dank Ammy, Teamviewer, weiteren Tools die ähnlich funktionieren und Reverse Shells auch ganz ohne das die IP bekannt sein muss.

Ok, Da hilft nu Radikal Kur. Neue IP-Adresse holen; Alle Festplatten Neu Formatieren und alles neu Installieren. (Bei diese Gelegenheit die Rechner und Server einfach komplett neu nennen. Und eventuelle Remote Lösungen die Hardware basierend sind umstellen.

So kann man eventuelle geöfnnete Hintertüren beseitigen

LG, Herbrich
Mitglied: Lochkartenstanzer
Lochkartenstanzer 08.12.2012 um 00:15:32 Uhr
Goto Top
Moin,

Ist der Admin bösartig?

Wenn "Ja", alles frisch aufsetzen.

Wenn "Nein", Alle (wirklich alle!) Paßwörter ändern. ggf auch alle Zertifikate ändern.

lks

PS: 'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind.'
Mitglied: 108012
108012 08.12.2012 um 15:09:44 Uhr
Goto Top
Hallo Thomas,

von meinen Vorrednern wurde ja schon fast alles gesagt, aber ergänzend wollte ich noch anmerken,
das ich an Deiner Stelle noch einen Syslog Server aufsetzen würde und zwar nicht virtuell!
Sondern eine eigenständige Lösung, die auch für Dich "abzuschotten" bzw. zu sichern ist!

Es geht um einen SBS 2011 Server mit HyperV
Da es sich dabei garantiert nicht um das ganze "Netzwerk" handelt und Syslog Aufzeichnungen auch schnell
die eine oder anderen "Intel Atom" basierende Lösung überfordern kann, wäre vielleicht nett zu wissen
was noch so alles zu dem Netzwerk gehört.

Ich rate Dir das aus folgendem Grund, wenn man ein bisschen zwischen den Zeilen ließt, kommt es einem
eher so vor als wenn man sich dort wie es so schön heißt nicht gütlich geeinigt und getrennt hat und nun
die dunkle Vorahnung besteht, dass Ihr demnächst ungebetenen Besuch bekommen könntet, ist ja nur meine
Meinung und kann sicherlich alles ganz anders sein.

Aber damit bist Du wenigstens abgesichert und hast etwas in der Hand, wenn es zum Fall der Fälle kommt.
Also alle Router, Switche, Server und Netzwerkgeräte auch eine gemeinsame Zeiteinstellung bringen und
dann die Protokolldateien an einem zentralen Punkt sammeln. Als Beispiel:

Alle Router und Switche schicken ihre logfiles an eine ausreichend dimensionierte "Maschine"
die gesichert ist. Also pfSense und mOnOwall würden mir dort einfallen, die sind kostenlos und
lassen sich prima so abschotten, das nur die Syslog Dateien angenommen werden und der Administrator ran kann über das Management VLAN, fertig! Bricht jetzt jemand ein, und wie es ebend so ist, möchte dieser jemand zum Schluss seine Spuren verwischen, die Protokolldateien um gewisse Einträge kürzen, muss
er die pfSense auch noch hacken und das ist eben auch nicht jedermann Stärke!

Gruß
Dobby und viel Glück ;)
Mitglied: maretz
maretz 08.12.2012 um 19:00:35 Uhr
Goto Top
Meine erste Frage wäre: Wie sieht es mit deinen Kenntnissen aus?!? Denn: Es bringt dir herzlich wenig da irgendwas zu bauen - wenn du dich nur grob mit der Materie auskennst. Denn dann werden deine Sperren einfach umgangen (z.B. weil im Router noch nen Account ist,…). Weiterhin musst du idR. alle Passwörter (auch der User) ändern - da der Admin die ggf. kennt (selbst wenn ihr die Passwörter nicht direkt vergebt - es ist oft genug das User xyz dem Admin mal eben das Passwort gibt damit er da was machen kann… egal ob der das braucht oder nicht….)
Mitglied: Alveiva
Alveiva 10.12.2012 um 18:58:14 Uhr
Goto Top
Danke erstmal für die schnellen Antworten! Um dem ganzen voraus zu gehen alles in unserem Betrieb ist Legal was die Systeme und Hardware angeht. Da wir ein relativ kleines Unternehmen sind was mit Patienten Daten täglich arbeitet waren wir uns eben nun sehr unsicher wie man mit solch einer Situation umgeht. Haben nun wie empfohlen alle Passwörter geändert und bei unserem Anbieter ne Neue IP Beantragt.
Mitglied: N899FGG
N899FGG 10.12.2012 um 19:07:57 Uhr
Goto Top
Hallo Alveiva,
ich würde erst mal ein Inventur machen und alle IT Komponenten auflisten. Danach ein Hardware Netzwerkscan machen auf Layer 1 und 2. Danach das IT Security Konzept ändern. Von TExt auf Bild oder Dongle Login. Die Relevanten Schnittstellen Monitoren und einen EPO Orchestrator Server z.B. aufsetzten. Ein Budget Planung dem Chef vorlegen und einen z.B .IT Security Netzwerk Engineer fragen was er meint. Klären mit dem Alten Admin ob er noch ausstehende Gehälter oder Forderungen vom Unternehemn hat und all Verträge des alten Admin umschreiben auf den neuen. Die langsamen alten defekten Netzwerkkarten und Altlasten entsorgen. Ende des Jahres wird meistens in vielen Unternehmen, Inventur, Backups, Ferien ... gemacht da ist Hchkonjunktur für die EDV Abteilung und da muss auch jeder Lehrling Administrator ran. Wenn es mehrer Standorte gibt auch diese Aufnehmen und besichtigen. Die Patchkabel die nicht erforderlich sind entfernen. Alle Unterputzdosen abklemmen. Mit Oszi das Wlan Netzwerk deaktivieren. Info an alle externen Kontakte das ein neuer Admin mit Tel . und Email bei Bestellungen ab dem ersten Tag. erst zu kontaktierne ist und dann erst die Bestellung rausgeht. Alle Bestellungen und ihre Addressen überprüfen. Sprich mal eben zur Buchhaltung gehen. Ach ja und ein Weihnachtsgeschenk an den alten Admin schicken. Grohe Weihnachten, viel Arbeit während der Weihnachtstage und einen guten Rutsch ins neue Jahr mit neuen Systemen.
Mitglied: wiesi200
wiesi200 10.12.2012 um 19:17:48 Uhr
Goto Top
Hallo
Aber was soll der Schmarn mit alte Netzwerkkarten austauschen?
Damit sperrst du keinen Admin aus. Bestellungen sollten meiner Meinung nach immer jener den Einkauf laufen und Rechnungen mitessen immer geprüft werde. Wie währ's wenn wir bei der Frage bleiben?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 10.12.2012 um 19:47:23 Uhr
Goto Top
Zitat von @Alveiva:
... bei unserem Anbieter ne Neue IP Beantragt.

Welchen Zweck soll das denn haben? Wenn Ihr eine fest Ip habt, habt Ihr normalerweise auch einen namen dazu. Abgesehen davon soltle es eine kleinigkeit sein, die neue Ip herauszubekommen. Insbesondere wenn der Ex-Admin euren Anbieter kennt und daher weiß welches AS ihm zugeordnet ist.

Wie geasgt: Ist der Admin bösartig? Denn dann muß man davon ausgehen, daß er auch hintertüren hinterlassen hat, die man nur dadurch wegbekommt, daß man alles frisch macht. Dann muß man auch die Infrastruktur durchprüfen, ob er da z.B. keinen Tap hinterlassen hat, mit dem er per Mobilfunk reinkommt. Mobilfunkrouter kosten unter 100€ und können unauffällig an irgendeinen switch gehängt werden. Auch ein kleiner Raspberry o.ä fällt nirgendwo auf, wenn man ihn geschickt anbringt.

Von daher: erst prüfen, welche Aufwand Ihr treiben wollt und könnt, um alle Maßnahmen für so einen Fall durchzuführen.
Mitglied: Herbrich19
Herbrich19 27.12.2012 um 22:56:55 Uhr
Goto Top
Hallo,

Mobielfunk Router??

Na, da muss einer doch erstmal sehr Bößartig sein. Werden bei euch die IP,s an einer Zentralen Stelle Vergeben, oder aufgelistet??

Dann einfach mal Inventur machen und schauen welches Gerät welche IP hat. Und wen was auffällt was da nicht sien sollte. Dann kann man es villeicht eingrenzen. (Die Abteilung hat diesen und jenen IP-Pool). Und dann weiß man wo eventuell noch was eingesteckt sein könnte.

Und nicht zu Varachten sind (wen man schon so extrem vorsichtig ist^^) W-LAN AP,s. Diese können ihre SSID verstecken und so fällt er garnicht so sehr auf. Gut so ganz bequem währe das ja nicht da der Böse Admin dann zu euch hinfahren müsste. Aber sicher ist sicher face-smile

LG, Herbrich