Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

FALLSTUDIE Win2k/XP: Montags in der Firma, alle Logons stehen auf "administrator"!

Frage Sicherheit Firewall

Mitglied: grotti74

grotti74 (Level 1) - Jetzt verbinden

15.05.2006, aktualisiert 28.02.2007, 4137 Aufrufe, 5 Kommentare

Eine wahre Begebenheit, die dazu dienen soll, um bei besorgten Admins wieder Gemütsruhe einkehren zu lassen: ist alles harmloser, als es aussieht.

Hi,

ich will das mal hier reinstellen, um einfach gewisse sicherheitsbesorgte Administratoren (u. a.) in 99%iger Sicherheit zu wiegen, dass nichts ernstes vorgefallen ist!

Rückblende:
Heute morgen in der Firma, ich will mich auf meinem Mitarbeiter-PC einloggen: nach Drücken des Affengriffs steht da ein logon: "administrator". Uii, sehr verdächtig. Glücklicherweise sind wir eine sehr überschaubare Firma, also starte ich eine Rundfrage, wer auf "meinem" PC mit administrator drin war und WARUM. Normalerweise besteht dazu nie Anlass; und wenn (Entsperrung etc.) , kann es die GL remote machen.

Antwort: KEINER!

Mit Misstrauen kann man kein Arbeitsverhältnis aufrechterhalten, also habe ich natürlich allen (inklusive GL) geglaubt -- und gut daran getan!
Der Technische Leiter erwähnte "nebenbei" etwas äußerst wichtiges:

Ein kurzzeitiger (8 sek.) Stromausfall am vergangenen Freitag um ca. 17:00 Uhr. (Alle übrigen MA verließen das Unternehmen aber um spätestens 15:30, das ist 100% sicher).

[Und nein, wir haben _keine_ USV.]

Und genau *DAS* wars: Stromausfall des Hauptservers, zwar nur kurzzeitig, aber das löste jedenfalls auf den Windows2k-Maschinen (XP weiß ich nicht) das Erstlogon " ;administrator" aus! D. h., mit Fug & Recht darf zunächst angenommen werden, jemand hätte mit dem Domänen (!!) Admin auf die Kiste zugegriffen!

Mit solchen Begebenheiten denke ich ist NICHT zu spaßen!!
Ich habe das auch erst nach Recherche herausbekommen: Windows 2000 stellt bei unvorhergesehenem Reset seine Erst-Logons tatsächlich zurück auf den (Domänen-)Administrator. Teilweise funktionieren dann auch Lokaladmins nicht - so wie bei mir: ich musste mir einen neuen einrichten lassen.
Hätte - wenn der Vorgang nicht hätte lückenlos erklärt werden können - genausogut bedeuten können, dass "administrator" mal wieder sein Passwort ändern sollte (!!) und der nämlich voll-internetfähige Server per seiner dedizierten IP von außen unerwünschten Besuch bekommen hatte! Und das hieße: Alarmstufe eins.
Mitglied: Majestro
15.05.2006 um 12:49 Uhr
Netter Beitrag, Danke für den Tip.

>Hätte - wenn der Vorgang nicht hätte lückenlos erklärt werden können - genausogut >bedeuten können, dass "administrator" mal wieder sein Passwort ändern sollte (!!) und >der nämlich voll-internetfähige Server per seiner dedizierten IP von außen unerwünschten >Besuch bekommen hatte

Normalerweise hättest du nach dem "Affengriff" dein Adminpasswort eingeben müssen um zu einer Passwortänderung zu gelangen.

Aber sonst klasse, danke nochmal für die Info.

Gruß
Björn
Bitte warten ..
Mitglied: 16568
15.05.2006 um 13:09 Uhr
Danke für die Info.



Lonesome Walker
Bitte warten ..
Mitglied: drop-ch
15.05.2006 um 15:25 Uhr
Hi grotti

Ich habe das auch erst nach Recherche
herausbekommen, dass Windows bei
unvorhergesehenem Reset seine Erst-Logons
zurück auf den
(Domänen-)Administrator stellt.

Darf ich Frage, wer dir während deiner Recherche diese Info gegeben hat?

Wir hatten in der 2. Hälfte letzten Jahres drei grössere Stromausfälle. In der Firma stehen um die 200 Clients, ca. 65% davon mit Win2000 die restlichen mit XP.
Wir hatten bei keinem einzigen Client dieses Phänomen, dass im Login-Fenster nach dem erneuten Starten "administrator" drin stand. Also wir können das hier nicht bestätigen.

gretz drop
Bitte warten ..
Mitglied: grotti74
15.05.2006 um 16:10 Uhr
Tja tut mir für dich leid, heißt aber nicht, dass dein Fall überall so abläuft (gilt ebenso für meinen)

Einfach beantwortet: ich habe Augen im Kopf. Außerdem vertraue ich meinen Leuten hier; davon abgesehen, sind manche froh, wenn sie als _User_ mit dem Teil klarkommen.
Das Phänomen war auf allen Rechnern im Netzwerk zu sehen.
Und dass jemand per "administrator" auf ALLE Kisten gleichzeitig muss wäre schon "sehr" komisch...

Wenn ich mich jetzt nicht total täusche - ich google da jetzt auch nicht rum - macht sowohl Windows 2k als auch XP einen Unterschied zwischen Remote-Login und lokalem Login, d. h.:

- angenommen ich bin "mitarb1"
- ich logge mich aus, die Kiste zeigt den ctrl-alt-del Prompt
- jetzt loggt sich der Domänen-Admin von oben ein (REMOTE)
- ich starte präventiv neu (vielleicht überflüssig, aber nur sicherheitshalber, damit sich Windows 100% sicher den richtigen last login "holt", bei Win weiß man nie...)

der User, der bei mir auf dem Monitor erscheint, sollte nach wie vor "mitarb1" sein!
Keine Zeit das jetzt auszutesten, aber ich bin mir fast sicher...
Bitte warten ..
Mitglied: grotti74
28.02.2007 um 09:50 Uhr
Nach fast einem Jahr: ein UPDATE!!

Die Sache ist gelöst - aber das Ganze liegt daran, dass ich einfach ein vertrauensseliger Mensch bin und nicht bei jedem immer zuerst das Schlechte denke...diesesmal _hätte_ ich aber richtig mißtrauisch sein sollen. Aber somit bin ich wenigstens für die Zukunft um eine Erfahrung reicher )

Tja drop, was lange währt wird endlich gut - du darfst wieder ruhig schlafen, denn du hattest damals RECHT! (15.05.2006)
Ich hatte bei der Firma ein befristetes Projekt bekommen, dessen Finanzier zum 31.05.2006 unerwartet absprang und ich mir eine neue Stelle suchen musste (die Firma war Fremdbranche, und dieses Projekt hatte nur zufällig mit IT zu tun)
Außerdem hatte das Projekt mit Forschung zu tun, und dort wird ja gerne 10x geforscht, und 9 Projekte wieder abgeblasen.--

Also Minifirmen (< 10 Mann) können schon grausam sein!! Offenbar hatte die GL in meiner Abwesenheit eine Generalvereinbarung getroffen, bei Fragen meinerseits, wer mit dem Domänen-Admin bei mir auf dem Rechner war, stets zu sagen: "Ich war's nicht"
DER STROMAUSFALL WAR OFFENSICHTLICH GELOGEN!!

Was die gemacht haben, war was ganz anderes: einen MIRROR! Die haben per DA zur Spiegelung meiner Festplatte da reinmüssen, um sicherzugehen dass ich vor dem Geschaßtwerden nicht noch was lösche! (Wozu ich nicht übel Lust gehabt hätte bei der Behandlung!)
Menschen mit administrativen Rechten (auch Entwickler, die nicht jedesmal den Hiwi fragen können ob er ihnen ein SDK installiert) erzeugen offenbar ein echtes Angstpotential, was einem selbst ein skurriles Machtgefühl gibt. Mit dem richtigen Handgriff könnte ich da so eine Art "schleichenden Tod" über die Verzeichnisse basteln!

Gut, dass ein bekannter Kollege dasselbe Problem hatte und mir die Eingebung gab, was der wahre Grund für das seltsame "Gott"-Login gewesen sein musste.

Also ich weise alles Lob zurück über diesen meinen "tollen Tip" und danke drop für sein kontroverses Statement! Der hat's richtig gemacht: der glaubt nicht alles vom Fleck weg!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Off Topic
gelöst Kostenloser Support - Firma gesucht! (69)

Frage von runasservice zum Thema Off Topic ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Tipps & Tricks
Dokumentation privater Endgeräte in der Firma (9)

Frage von Maednix zum Thema Tipps & Tricks ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...