7
Lokaler Admin zum Domänen-Admin?
Kann ein User sich selbst mehr Rechte geben?
Hallo zusammen,
in der Zeitschrift IT-Administrator, Ausgabe 10/2011 ist ein Beitrag zum Thema "Jenseits der Firewall" (S.44ff). Unter der Überschrift "Administratoren überall" finden sich folgende Aussagen: "Dabei ist es längst kein Geheimwissen mehr, dass in einer Windows-Domäne ein lokaler Admin sich selbst mit wenig Aufwand zum Domänen-Admin machen kann." und "Die Angriffe, mit denen ein Hauptbenutzer zum uneingeschränkten Admin wird, sind ebenso simpel wie bekannt."
Der Herr Google hat mir bei dem Thema nicht wirklich helfen können.
Geht das wirklich so einfach? Weiß jemand wie? Oder besser noch, weiß jemand, wie man das verhindert?
Gruß
Niko
in der Zeitschrift IT-Administrator, Ausgabe 10/2011 ist ein Beitrag zum Thema "Jenseits der Firewall" (S.44ff). Unter der Überschrift "Administratoren überall" finden sich folgende Aussagen: "Dabei ist es längst kein Geheimwissen mehr, dass in einer Windows-Domäne ein lokaler Admin sich selbst mit wenig Aufwand zum Domänen-Admin machen kann." und "Die Angriffe, mit denen ein Hauptbenutzer zum uneingeschränkten Admin wird, sind ebenso simpel wie bekannt."
Der Herr Google hat mir bei dem Thema nicht wirklich helfen können.
Geht das wirklich so einfach? Weiß jemand wie? Oder besser noch, weiß jemand, wie man das verhindert?
Gruß
Niko
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 174522
Url: https://administrator.de/contentid/174522
Printed on: April 18, 2024 at 19:04 o'clock
7 Comments
Latest comment
"Dabei ist es längst kein
Geheimwissen mehr, dass in einer Windows-Domäne ein lokaler Admin sich selbst mit wenig Aufwand zum Domänen-Admin machen
kann."
Geheimwissen mehr, dass in einer Windows-Domäne ein lokaler Admin sich selbst mit wenig Aufwand zum Domänen-Admin machen
kann."
Das bezweifle ich ganz stark... selbstständig ohne Hilfe oder Missbarauch eines wirklichen Admins sehe ich da 0,0% Change sich die Rechte zu erschleichen!
und "Die Angriffe, mit denen ein Hauptbenutzer zum uneingeschränkten Admin wird, sind ebenso simpel wie
bekannt."
bekannt."
Das könnte sein, wenn man es schafft, das ein echter Admin eine manipulierte Datei mit seinen Rechten öffnet...
Grüße Lenny
> und "Die Angriffe, mit denen ein Hauptbenutzer zum uneingeschränkten Admin wird, sind ebenso simpel wie
> bekannt."
Das könnte sein, wenn man es schafft, das ein echter Admin eine manipulierte Datei mit seinen Rechten öffnet...
mit etwas bearbeiten der Dienste und dann Admin bitten sich mal anzumelden sollte das durchaus möglich sein
Gruß
Hoko
moin.
edit:
@ Hoko:
ähh....
Gruß
Kann ein User sich selbst mehr Rechte geben?
Nein - wenn wir penibel zwischen User und Admin unterscheiden."Dabei ist es längst kein Geheimwissen mehr, dass in einer Windows-Domäne ein lokaler Admin sich selbst mit wenig Aufwand zum Domänen-Admin machen kann."
Im Vergleich "Erfolgserlebnis" vs. "Aufwand" passt das Adjektiv "wenig" schon.Der Herr Google hat mir bei dem Thema nicht wirklich helfen können.
Was mich etwas wundert, .Geht das wirklich so einfach?
- jupp
Weiß jemand wie?
- jupp
Oder besser noch, weiß jemand, wie man das verhindert?
Ganz einfach - strenge Passwortpolicy, und das strenge einhalten von "lokaler Admin" ist ausschliesslich für Administrative Notfälle gedacht, jeder "User" ist "User".edit:
@ Hoko:
ähh....
Der Herr Google hat mir bei dem Thema nicht wirklich helfen können.
- wollen wir das ausgerechnet hier "ändern"?
Gruß
> Weiß jemand wie?
- jupp
Klähre mich auf... Klar wenn ich es schaffe den Admin ein Script auszuführen zu lassen, dass mein Konto im AD berechtigt stimmt ich Dir zu.... Aber sonst?
strenge Passwortpolicy
ich bezweifle mal das mit "wenig Aufwand" gemeint ist, das die User Irgendwelche DictionaryAttacks gegen das Admin PW führen...
•wollen wir das ausgerechnet hier "ändern"?
Nur wer weis wies geht kann ausbrüten wie man es verhindert...
PS: Sollte der Hauptbenutzer bei Win7 nicht eh Geschichte sein?
Grüße Lenny
edit:
@ Hoko:
ähh....
>> Der Herr Google hat mir bei dem Thema nicht wirklich helfen können.
- wollen wir das ausgerechnet hier "ändern"?
Hier sollten wir jedem Admin davon abraten, Benutzern Hauptbenutzerrechte überhaupt erst zu geben. Weil was man damit machen kann, lernen die schon in der Schule.
Aber wie so oft, der Mensch ist faul und bevor nur die benötigten Rechte gegeben werden kommt die Holzhammermethode.
Zitat von @lenny4me:
Klähre mich auf... Klar wenn ich es schaffe den Admin ein Script auszuführen zu lassen, dass mein Konto im AD berechtigt stimmt ich Dir zu.... Aber sonst?
Klähre mich auf... Klar wenn ich es schaffe den Admin ein Script auszuführen zu lassen, dass mein Konto im AD berechtigt stimmt ich Dir zu.... Aber sonst?
- mal unter 4 Augen, beim Glas Wein, aber hier ganz sicher nicht.
ich bezweifle mal das mit "wenig Aufwand" gemeint ist, das die User Irgendwelche DictionaryAttacks gegen das Admin PW führen...
- Es soll "Domainadmins" geben, die dem lokalen Admin das Passwort "GeHeim" geben und dem DomainAdmin das Passwort "schonzuhause"...
Nur wer weis wies geht kann ausbrüten wie man es verhindert...
- schrub ich doch... User==User und ein simples
dsget group "CN=Domain Admins,CN=Users,DC=domain,DC=suffix" -members PS: Sollte der Hauptbenutzer bei Win7 nicht eh Geschichte sein?
Der war bei uns schon bei "NT4" Geschichte....Grüße Lenny
zurück
Dabei ist es längst kein Geheimwissen mehr, dass in einer Windows-Domäne ein lokaler Admin sich selbst mit wenig Aufwand zum Domänen-Admin machen kann
Doch, würde ich schon sagen, dass dies Geheimwissen ist. Wer ohne Kennwortknacken sowas kann, der verfügt über Geheimwissen.Ein paar sachdienliche Hinweise dazu, wie das Domadminkennwort gefährdet ist, können hier nicht schaden: als lokaler Admin kannst Du Kennworthashes auslesen. Diese zu knacken ist jedoch nicht mal eben so. Außerdem kann und sollte man das Caching von Kennwörtern abschalten oder auf 1 (nur der letzte Benutzer, d.h. bereits bei der nächsten Anmeldung nach dem Domadmin wird der Hash überschrieben) setzen.
Network security: Do not store LAN Manager hash value on next password change ->enabled
Interactive logon: Number of previous logons to cache (in case domain controller is not available) ->je nach Gusto auf 0 oder 1. Bei Road Warriors evtl. höher.
Die andere Sache mit den Hauptbenutzern hat selbst MS eingestanden (in persona Mark Russinovich). Seit Vista gibt es diese nicht mehr. Diese Angriffe sind in der Tat simpel und können als bekannt vorausgesetzt werden ->keine Hauptbenutzerschaften einrichten.
