Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lokaler Admin zum Domänen-Admin?

Mitglied: halani01

halani01 (Level 1) - Jetzt verbinden

12.10.2011 um 09:38 Uhr, 5404 Aufrufe, 7 Kommentare

Kann ein User sich selbst mehr Rechte geben?

Hallo zusammen,

in der Zeitschrift IT-Administrator, Ausgabe 10/2011 ist ein Beitrag zum Thema "Jenseits der Firewall" (S.44ff). Unter der Überschrift "Administratoren überall" finden sich folgende Aussagen: "Dabei ist es längst kein Geheimwissen mehr, dass in einer Windows-Domäne ein lokaler Admin sich selbst mit wenig Aufwand zum Domänen-Admin machen kann." und "Die Angriffe, mit denen ein Hauptbenutzer zum uneingeschränkten Admin wird, sind ebenso simpel wie bekannt."

Der Herr Google hat mir bei dem Thema nicht wirklich helfen können.

Geht das wirklich so einfach? Weiß jemand wie? Oder besser noch, weiß jemand, wie man das verhindert?

Gruß
Niko
Mitglied: lenny4me
12.10.2011 um 09:52 Uhr
Zitat von halani01:

"Dabei ist es längst kein
Geheimwissen mehr, dass in einer Windows-Domäne ein lokaler Admin sich selbst mit wenig Aufwand zum Domänen-Admin machen
kann."

Das bezweifle ich ganz stark... selbstständig ohne Hilfe oder Missbarauch eines wirklichen Admins sehe ich da 0,0% Change sich die Rechte zu erschleichen!


und "Die Angriffe, mit denen ein Hauptbenutzer zum uneingeschränkten Admin wird, sind ebenso simpel wie
bekannt."

Das könnte sein, wenn man es schafft, das ein echter Admin eine manipulierte Datei mit seinen Rechten öffnet...


Grüße Lenny
Bitte warten ..
Mitglied: hoko
12.10.2011 um 09:56 Uhr

> und "Die Angriffe, mit denen ein Hauptbenutzer zum uneingeschränkten Admin wird, sind ebenso simpel wie
> bekannt."

Das könnte sein, wenn man es schafft, das ein echter Admin eine manipulierte Datei mit seinen Rechten öffnet...


mit etwas bearbeiten der Dienste und dann Admin bitten sich mal anzumelden sollte das durchaus möglich sein

Gruß
Hoko
Bitte warten ..
Mitglied: 60730
12.10.2011 um 10:06 Uhr
moin.

Kann ein User sich selbst mehr Rechte geben?
Nein - wenn wir penibel zwischen User und Admin unterscheiden.

"Dabei ist es längst kein Geheimwissen mehr, dass in einer Windows-Domäne ein lokaler Admin sich selbst mit wenig Aufwand zum Domänen-Admin machen kann."
Im Vergleich "Erfolgserlebnis" vs. "Aufwand" passt das Adjektiv "wenig" schon.
Der Herr Google hat mir bei dem Thema nicht wirklich helfen können.
Was mich etwas wundert, .
Geht das wirklich so einfach?
  • jupp
Weiß jemand wie?
  • jupp
Oder besser noch, weiß jemand, wie man das verhindert?
Ganz einfach - strenge Passwortpolicy, und das strenge einhalten von "lokaler Admin" ist ausschliesslich für Administrative Notfälle gedacht, jeder "User" ist "User".


edit:
@ Hoko:
ähh....
Der Herr Google hat mir bei dem Thema nicht wirklich helfen können.
  • wollen wir das ausgerechnet hier "ändern"?


Gruß
Bitte warten ..
Mitglied: lenny4me
12.10.2011 um 10:12 Uhr
> Weiß jemand wie?
  • jupp

Klähre mich auf... Klar wenn ich es schaffe den Admin ein Script auszuführen zu lassen, dass mein Konto im AD berechtigt stimmt ich Dir zu.... Aber sonst?

strenge Passwortpolicy

ich bezweifle mal das mit "wenig Aufwand" gemeint ist, das die User Irgendwelche DictionaryAttacks gegen das Admin PW führen...

•wollen wir das ausgerechnet hier "ändern"?

Nur wer weis wies geht kann ausbrüten wie man es verhindert...



PS: Sollte der Hauptbenutzer bei Win7 nicht eh Geschichte sein?

Grüße Lenny
Bitte warten ..
Mitglied: hoko
12.10.2011 um 10:42 Uhr

edit:
@ Hoko:
ähh....
>> Der Herr Google hat mir bei dem Thema nicht wirklich helfen können.
  • wollen wir das ausgerechnet hier "ändern"?


Hier sollten wir jedem Admin davon abraten, Benutzern Hauptbenutzerrechte überhaupt erst zu geben. Weil was man damit machen kann, lernen die schon in der Schule.
Aber wie so oft, der Mensch ist faul und bevor nur die benötigten Rechte gegeben werden kommt die Holzhammermethode.
Bitte warten ..
Mitglied: 60730
12.10.2011 um 10:50 Uhr
Zitat von lenny4me:
Klähre mich auf... Klar wenn ich es schaffe den Admin ein Script auszuführen zu lassen, dass mein Konto im AD berechtigt stimmt ich Dir zu.... Aber sonst?
  • mal unter 4 Augen, beim Glas Wein, aber hier ganz sicher nicht.
ich bezweifle mal das mit "wenig Aufwand" gemeint ist, das die User Irgendwelche DictionaryAttacks gegen das Admin PW führen...
  • Es soll "Domainadmins" geben, die dem lokalen Admin das Passwort "GeHeim" geben und dem DomainAdmin das Passwort "schonzuhause"...
Nur wer weis wies geht kann ausbrüten wie man es verhindert...
  • schrub ich doch... User==User und ein simples
01.
dsget group "CN=Domain Admins,CN=Users,DC=domain,DC=suffix" -members
könnte "helfen"
PS: Sollte der Hauptbenutzer bei Win7 nicht eh Geschichte sein?
Der war bei uns schon bei "NT4" Geschichte....

Grüße Lenny
zurück
Bitte warten ..
Mitglied: DerWoWusste
14.10.2011 um 00:42 Uhr
Dabei ist es längst kein Geheimwissen mehr, dass in einer Windows-Domäne ein lokaler Admin sich selbst mit wenig Aufwand zum Domänen-Admin machen kann
Doch, würde ich schon sagen, dass dies Geheimwissen ist. Wer ohne Kennwortknacken sowas kann, der verfügt über Geheimwissen.
Ein paar sachdienliche Hinweise dazu, wie das Domadminkennwort gefährdet ist, können hier nicht schaden: als lokaler Admin kannst Du Kennworthashes auslesen. Diese zu knacken ist jedoch nicht mal eben so. Außerdem kann und sollte man das Caching von Kennwörtern abschalten oder auf 1 (nur der letzte Benutzer, d.h. bereits bei der nächsten Anmeldung nach dem Domadmin wird der Hash überschrieben) setzen.
Network security: Do not store LAN Manager hash value on next password change ->enabled
Interactive logon: Number of previous logons to cache (in case domain controller is not available) ->je nach Gusto auf 0 oder 1. Bei Road Warriors evtl. höher.

Die andere Sache mit den Hauptbenutzern hat selbst MS eingestanden (in persona Mark Russinovich). Seit Vista gibt es diese nicht mehr. Diese Angriffe sind in der Tat simpel und können als bekannt vorausgesetzt werden ->keine Hauptbenutzerschaften einrichten.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung

Lokale Client Rechte mit dem Domänen Admin und dem Organisations Admin?

Frage von M.MarzWindows Userverwaltung2 Kommentare

Hallo zusammen, welche Gruppen haben alles Lokale Rechte an den Clients in der Domäne? Sind es die beiden o. ...

Microsoft

Softwareverteilung von Java mit GPO in einer Domäne als lokaler Admin

gelöst Frage von CasseandraMicrosoft7 Kommentare

Hallo, kurz zu mir. Ich bin zur Zeit an meinem Abschlussprojekt für meine Abschlussprüfung als Fisi. Dieses ist die ...

Windows Server

Lokaler Admin auf Server in Domain

gelöst Frage von DirmhirnWindows Server3 Kommentare

Hi, Die lokalen Admin Konten sind auf unseren Servern etwas Stiefmütterlich behandelt worden. Jetzt wollte ich das mal auf ...

Windows Server

Domänen Admins produktiv?

Frage von Ramsys1991Windows Server16 Kommentare

Hallo zusammen, mich interssiert wie ihr so mit den Domänen-Admin Rechten umgeht? Arbeitet ihr selber als IT Admin auf ...

Neue Wissensbeiträge
Windows Server
Erneutes Release von WS2019 und Win10 v1809
Tipp von IT-Pro vor 15 StundenWindows Server3 Kommentare

Hi, nachdem der Windows Server 2019 und Windows 10 in der Version 1809 aufgrund von verschwinden von Dateien nach ...

CPU, RAM, Mainboards
Spectre Update Tool für ältere PCs
Information von sabines vor 18 StundenCPU, RAM, Mainboards6 Kommentare

Mit Hilfe eines Tools wird der betreffende PC permanent von einem USB Stick gestartet, der ein passendes Microcode Update ...

Windows 10
Windows 10 Oktober 2018 Update: Es ist wieder da
Tipp von Bowsette vor 1 TagWindows 101 Kommentar

Ein neuer Versuch von Microsoft das Windows 10 Oktober 2018 Update, auch bekannt als 1809, an den Mann zu ...

Windows Server

Windows Server 2016: Achtung - ab heute gibt es wieder Express Updates

Information von kgborn vor 1 TagWindows Server1 Kommentar

Kurze Info für Administratoren, die Windows Server 2016 per WSUS/SCCM mit Updates betanken. Ab heute gibt es für Windows ...

Heiß diskutierte Inhalte
Windows Server
Windows Server 2016 Lizenzierung - 7 Hyper V VMs
Frage von staybbWindows Server18 Kommentare

Hallo zusammen, wir haben zwei HP Server gekauft mit jeweils pro Server 2 CPUs à 10 Cores. Also insgesamt ...

Batch & Shell
Ordnernamen mit String aus Ziffern-Zahlenkombination erstellen
Frage von MmarKussBatch & Shell16 Kommentare

Hallo zusammen, ich habe ein etwas komplexeres Problem, welches ich selbst mittels einer Batch-Datei lösen will / muss, da ...

Windows Server
Lohnt sich eine Domäne für uns?
Frage von BowsetteWindows Server12 Kommentare

Hallo, ich arbeite in einem kleinen Unternehmen mit mehr als 5 und weniger als 10 Mitarbeitern, also Small Business ...

Windows Server
AD Password Reminder Mail
Frage von TeutoneWindows Server10 Kommentare

Hallo liebe Leute, ich habe vor langer Zeit einmal ein Password Reminder Mail Script erstellt, welches nun nicht mehr ...