Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Admin aussperren!!!

Frage Microsoft Windows Server

Mitglied: Alveiva

Alveiva (Level 1) - Jetzt verbinden

07.12.2012 um 20:42 Uhr, 3357 Aufrufe, 15 Kommentare

Hallo habe eine sehr dringende Frage an alle die mich beraten oder helfen können. Wäre euch sehr dankbar!

Es geht um einen SBS 2011 Server mit HyperV. Ich wurde nun dazu Beauftragt unser System zu betreuen, da unser fester Admin sich nicht mehr sehen lässt und auch nun gekündigt wurde.

Mir geht es Prinzipel darum das kein Zugriff seinerseits mer auf das System möglich ist!
Passwort und feste IP ist im bekannt!

Habe bisher erstmal sein Passwort zurückgesetzt um einen Zugriff zu verhindern!

Was ist noch zu tun oder zu überprüfen um gegen nicht seriöse Administratoren geschützt zu sein.

Für eine schnelle Hilfe wäre ich dankbar!

Gruß Thomas
Mitglied: wiesi200
07.12.2012 um 20:54 Uhr
Hallo,

kurz um wirklich alle Passwörter ändern.
Sprich Router usw. auch nicht vergessen.
Bitte warten ..
Mitglied: danielfr
07.12.2012 um 20:58 Uhr
Wenn Du ganz sicher sein willst solltest Du sogar in Erwägung ziehen, das System neu aufzusetzen. Je nachdem wie motiviert und/oder versiert der Exkollege ist (und wie paranoid Du bist), wird es wohl nicht reichen, nur die Passwörter zu ändern.
Auch nicht vergessen, das er sich auch mal ein Backup mitgenommen haben könnte...
Das ist generell immer eine dumme Sache.
Bitte warten ..
Mitglied: 2hard4you
07.12.2012 um 21:03 Uhr
Moin,

mal für die Paranoiden - der Backup-Account hat auch Vollzugriff (und muß den auch haben!!!!!!!!!!!!!!) und dann mal das ganze AD durchforsten - und jeden aus der Admingroup rauswerfen, der da nicht rein gehört....

Gruß

24
Bitte warten ..
Mitglied: b.enni
07.12.2012 um 21:04 Uhr
Hallo Thomas,

ich würde noch gucken, welche anderen Accounts ihm noch bekannt sein könnten. Hier brauchst du dir ja eigentlich nur die Benutzer mit erweiterten Rechten (Admins, Remotebenutzer) anzugucken. Alle Accounts davon, die dir unbekannt sind, würde ich erstmal deaktiveren (irgendwann morgens - damit du im Laufe des Tages noch reagieren kannst) und gucken wer sich evtl. meldet.
Welche Ferzugriffmöglichkeiten gibt es? Ist vielleicht ein Tool dabei, wo das Passwort in den Programmeinstellungen hinterlegt ist (radmin oder Ähnliches)?
Was hostet der HyperV? Was kann er da angreifen?

Natürlich sollte der Zutritt zum Server auch nicht mehr möglich sein...


Grüße,
Benni
Bitte warten ..
Mitglied: Herbrich19
07.12.2012 um 22:07 Uhr
Hallo,

Für die Extrem Paranoiden. Wen der Admin die IP kennt, und technisch Versiert ist könnte ich auch noch Bachdor,s ins System eingebaut haben. Also wer auf nummer sicher gehen will muss / sollte auch die IP-Adresse ändern.

LG, Herbrich
Bitte warten ..
Mitglied: danielfr
07.12.2012 um 22:19 Uhr
Für die Extrem Paranoiden. Wen der Admin die IP kennt, und technisch Versiert ist könnte ich auch noch Bachdor,s ins
System eingebaut haben. Also wer auf nummer sicher gehen will muss / sollte auch die IP-Adresse ändern.
Das geht aber Dank Ammy, Teamviewer, weiteren Tools die ähnlich funktionieren und Reverse Shells auch ganz ohne das die IP bekannt sein muss.
Bitte warten ..
Mitglied: Herbrich19
08.12.2012 um 00:12 Uhr
Hallo

>Das geht aber Dank Ammy, Teamviewer, weiteren Tools die ähnlich funktionieren und Reverse Shells auch ganz ohne das die IP bekannt sein muss.

Ok, Da hilft nu Radikal Kur. Neue IP-Adresse holen; Alle Festplatten Neu Formatieren und alles neu Installieren. (Bei diese Gelegenheit die Rechner und Server einfach komplett neu nennen. Und eventuelle Remote Lösungen die Hardware basierend sind umstellen.

So kann man eventuelle geöfnnete Hintertüren beseitigen

LG, Herbrich
Bitte warten ..
Mitglied: Lochkartenstanzer
08.12.2012 um 00:15 Uhr
Moin,

Ist der Admin bösartig?

Wenn "Ja", alles frisch aufsetzen.

Wenn "Nein", Alle (wirklich alle!) Paßwörter ändern. ggf auch alle Zertifikate ändern.

lks

PS: 'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind.'
Bitte warten ..
Mitglied: Dobby
08.12.2012 um 15:09 Uhr
Hallo Thomas,

von meinen Vorrednern wurde ja schon fast alles gesagt, aber ergänzend wollte ich noch anmerken,
das ich an Deiner Stelle noch einen Syslog Server aufsetzen würde und zwar nicht virtuell!
Sondern eine eigenständige Lösung, die auch für Dich "abzuschotten" bzw. zu sichern ist!

Es geht um einen SBS 2011 Server mit HyperV
Da es sich dabei garantiert nicht um das ganze "Netzwerk" handelt und Syslog Aufzeichnungen auch schnell
die eine oder anderen "Intel Atom" basierende Lösung überfordern kann, wäre vielleicht nett zu wissen
was noch so alles zu dem Netzwerk gehört.

Ich rate Dir das aus folgendem Grund, wenn man ein bisschen zwischen den Zeilen ließt, kommt es einem
eher so vor als wenn man sich dort wie es so schön heißt nicht gütlich geeinigt und getrennt hat und nun
die dunkle Vorahnung besteht, dass Ihr demnächst ungebetenen Besuch bekommen könntet, ist ja nur meine
Meinung und kann sicherlich alles ganz anders sein.

Aber damit bist Du wenigstens abgesichert und hast etwas in der Hand, wenn es zum Fall der Fälle kommt.
Also alle Router, Switche, Server und Netzwerkgeräte auch eine gemeinsame Zeiteinstellung bringen und
dann die Protokolldateien an einem zentralen Punkt sammeln. Als Beispiel:

Alle Router und Switche schicken ihre logfiles an eine ausreichend dimensionierte "Maschine"
die gesichert ist. Also pfSense und mOnOwall würden mir dort einfallen, die sind kostenlos und
lassen sich prima so abschotten, das nur die Syslog Dateien angenommen werden und der Administrator ran kann über das Management VLAN, fertig! Bricht jetzt jemand ein, und wie es ebend so ist, möchte dieser jemand zum Schluss seine Spuren verwischen, die Protokolldateien um gewisse Einträge kürzen, muss
er die pfSense auch noch hacken und das ist eben auch nicht jedermann Stärke!

Gruß
Dobby und viel Glück ;)
Bitte warten ..
Mitglied: maretz
08.12.2012 um 19:00 Uhr
Meine erste Frage wäre: Wie sieht es mit deinen Kenntnissen aus?!? Denn: Es bringt dir herzlich wenig da irgendwas zu bauen - wenn du dich nur grob mit der Materie auskennst. Denn dann werden deine Sperren einfach umgangen (z.B. weil im Router noch nen Account ist,…). Weiterhin musst du idR. alle Passwörter (auch der User) ändern - da der Admin die ggf. kennt (selbst wenn ihr die Passwörter nicht direkt vergebt - es ist oft genug das User xyz dem Admin mal eben das Passwort gibt damit er da was machen kann… egal ob der das braucht oder nicht….)
Bitte warten ..
Mitglied: Alveiva
10.12.2012 um 18:58 Uhr
Danke erstmal für die schnellen Antworten! Um dem ganzen voraus zu gehen alles in unserem Betrieb ist Legal was die Systeme und Hardware angeht. Da wir ein relativ kleines Unternehmen sind was mit Patienten Daten täglich arbeitet waren wir uns eben nun sehr unsicher wie man mit solch einer Situation umgeht. Haben nun wie empfohlen alle Passwörter geändert und bei unserem Anbieter ne Neue IP Beantragt.
Bitte warten ..
Mitglied: N899FGG
10.12.2012 um 19:07 Uhr
Hallo Alveiva,
ich würde erst mal ein Inventur machen und alle IT Komponenten auflisten. Danach ein Hardware Netzwerkscan machen auf Layer 1 und 2. Danach das IT Security Konzept ändern. Von TExt auf Bild oder Dongle Login. Die Relevanten Schnittstellen Monitoren und einen EPO Orchestrator Server z.B. aufsetzten. Ein Budget Planung dem Chef vorlegen und einen z.B .IT Security Netzwerk Engineer fragen was er meint. Klären mit dem Alten Admin ob er noch ausstehende Gehälter oder Forderungen vom Unternehemn hat und all Verträge des alten Admin umschreiben auf den neuen. Die langsamen alten defekten Netzwerkkarten und Altlasten entsorgen. Ende des Jahres wird meistens in vielen Unternehmen, Inventur, Backups, Ferien ... gemacht da ist Hchkonjunktur für die EDV Abteilung und da muss auch jeder Lehrling Administrator ran. Wenn es mehrer Standorte gibt auch diese Aufnehmen und besichtigen. Die Patchkabel die nicht erforderlich sind entfernen. Alle Unterputzdosen abklemmen. Mit Oszi das Wlan Netzwerk deaktivieren. Info an alle externen Kontakte das ein neuer Admin mit Tel . und Email bei Bestellungen ab dem ersten Tag. erst zu kontaktierne ist und dann erst die Bestellung rausgeht. Alle Bestellungen und ihre Addressen überprüfen. Sprich mal eben zur Buchhaltung gehen. Ach ja und ein Weihnachtsgeschenk an den alten Admin schicken. Grohe Weihnachten, viel Arbeit während der Weihnachtstage und einen guten Rutsch ins neue Jahr mit neuen Systemen.
Bitte warten ..
Mitglied: wiesi200
10.12.2012 um 19:17 Uhr
Hallo
Aber was soll der Schmarn mit alte Netzwerkkarten austauschen?
Damit sperrst du keinen Admin aus. Bestellungen sollten meiner Meinung nach immer jener den Einkauf laufen und Rechnungen mitessen immer geprüft werde. Wie währ's wenn wir bei der Frage bleiben?
Bitte warten ..
Mitglied: Lochkartenstanzer
10.12.2012 um 19:47 Uhr
Zitat von Alveiva:
... bei unserem Anbieter ne Neue IP Beantragt.

Welchen Zweck soll das denn haben? Wenn Ihr eine fest Ip habt, habt Ihr normalerweise auch einen namen dazu. Abgesehen davon soltle es eine kleinigkeit sein, die neue Ip herauszubekommen. Insbesondere wenn der Ex-Admin euren Anbieter kennt und daher weiß welches AS ihm zugeordnet ist.

Wie geasgt: Ist der Admin bösartig? Denn dann muß man davon ausgehen, daß er auch hintertüren hinterlassen hat, die man nur dadurch wegbekommt, daß man alles frisch macht. Dann muß man auch die Infrastruktur durchprüfen, ob er da z.B. keinen Tap hinterlassen hat, mit dem er per Mobilfunk reinkommt. Mobilfunkrouter kosten unter 100€ und können unauffällig an irgendeinen switch gehängt werden. Auch ein kleiner Raspberry o.ä fällt nirgendwo auf, wenn man ihn geschickt anbringt.

Von daher: erst prüfen, welche Aufwand Ihr treiben wollt und könnt, um alle Maßnahmen für so einen Fall durchzuführen.
Bitte warten ..
Mitglied: Herbrich19
27.12.2012 um 22:56 Uhr
Hallo,

Mobielfunk Router??

Na, da muss einer doch erstmal sehr Bößartig sein. Werden bei euch die IP,s an einer Zentralen Stelle Vergeben, oder aufgelistet??

Dann einfach mal Inventur machen und schauen welches Gerät welche IP hat. Und wen was auffällt was da nicht sien sollte. Dann kann man es villeicht eingrenzen. (Die Abteilung hat diesen und jenen IP-Pool). Und dann weiß man wo eventuell noch was eingesteckt sein könnte.

Und nicht zu Varachten sind (wen man schon so extrem vorsichtig ist^^) W-LAN AP,s. Diese können ihre SSID verstecken und so fällt er garnicht so sehr auf. Gut so ganz bequem währe das ja nicht da der Böse Admin dann zu euch hinfahren müsste. Aber sicher ist sicher

LG, Herbrich
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...