Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Lokaler Admin mit gleichen Rechten wie Domain Admin ?

Frage Sicherheit

Mitglied: mandragora

mandragora (Level 1) - Jetzt verbinden

08.08.2007, aktualisiert 09.08.2007, 11734 Aufrufe, 6 Kommentare

Hallo Leute,

Ich habe ein rießengroßes Problem zu dem ich derzeit keine Antwort habe.

Das ganze Beschreibt sich derzeit so:

- Mitarbeiter meldete das an einem Produktions PC (Windows XP Pro) (in einer Arbeitsgruppe - nicht Mitglied einer Domäne) (lokale Administratorenrechte) zugriff auf das Firmennetzwerk besteht und auf viele Ordner zugegriffen werden konnte.
Der Zugriff dürfte überhaupt nicht möglich sein da der PC keinerlei Rechte innerhalb der Domäne hat.

- Ich überprüfte das ganze und musste feststellen das dies wirklich so war.
Darauf hin checkte ich sofort am Fileserver die Rechte der einzelnen Ordner.
Die Ordner waren alle einwandfrei mit Rechten versehen jedoch auch auf einigen war der lokale Administrator des Fileservers dabei (was ja auch egal sein sollte da er ja der lokale Administrator des Filservers ist und kein anderer).

- Als ich dann instiktiv den lokalen Administrator entfernte war auch der Zugriff des Produktions PC unterbunden. (was ja wieder unlogisch erscheint da wie schon gesagt der Produktions PC nicht in der Domäne (lokale Arbeitsgruppe) ist und auch keinerlei Rechte auf irgendeinen Ordner am Fileserver hat.

- Was mit dann bei meinen weiteren Nachforschungen aufgefallen ist, ist das der lokale Administrator am Fileserver und der lokale Administrator am Produktions PC die gleichen Passwörter haben. (was ja auch wiederrum egal sein sollte).

- Weiters viel mir auch auf das wenn ich vom Produktions PC aus im gesamten Netzwerk bei Klick in der Netzwerkumgebung auf einen Rechner klickte sofort das Loginfenster kahm. (alles durchwegs XP und Windows 2000 Server Maschinen) was auch passt und richtig ist.
Lediglich auf meinen W2k3 Server (Fileserver) kahm das Loginfenster nicht.
Nach Änderung des Passworts meines lokalen Administrators war auch dies unterbunden und das Loginfenster ist erschienen.


- sooo... nun frage ich mich natürlich wie das ganze passieren konnte und passiert ist.

nochmals in der kürze zusammengeschrieben:

- lokaler Admin auf einer XP Maschine in einer Arbeitsgruppe - keinerlei Rechte innerhalb der Domäne.
- lokaler Admin auf einem W2k3 Server der als Fileserver arbeitet und in einer Domäne hängt und mit Domänadminrechten verwaltet wird.
- beide lokale Admins (XP und W2k3 Server) hatten gleiches Passwort.
- Zugriff auf Ordner durch XP Maschine auf Ordner auf denen der lokale Administrator des W2k3 Servers war.

Das ganze dürfte eigentlich nicht passieren.
Ich habe auch eine externe Security Firma zu Rate gezogen die mich in dieser Sache unterstützen.
Die konnte nach erstem Augenschein sich das ganze auch nicht wirklich erklären.

Hat bitte von euch eventuell einen Rat oder Tipp was die Ursache dieses Problems sein kann.


Vielen Dank schon mal für eure Hilfe.

lg
mandragora
Mitglied: erbuc
08.08.2007 um 14:22 Uhr
Hi
Meldet sich der Benutzer lokal mit "administrator" an? Das sollte nicht so sein!
Wenn ja, dann sperr den Account für ihn (Passwort ändern) und gib ihm einen eigenen Account mit Admin Rechten. (klar kann er dann auch das andere PW wieder ändern). Ich bin der Meinung, dass wenn Du Dich von einem PC egal ob Domänen-Mitglied, mit demselben Benutzernamen und demselben Passwort auf einen Server verbindest, dass genau das passiert was Du beschreibst.

Lokale Admins auf PC und Server haben IMMER unterschiedliche Passwörter zu haben, besser sogar noch geänderte Benutzernamen. Genau wie auch das lokale Admin-PW nicht dem Domänen-Admin enstprechen sollte. Vermutlich heisst die lokale Workgroup noch gleich wie die Domäne....
Bitte warten ..
Mitglied: mandragora
08.08.2007 um 14:53 Uhr
Hi erbuc

Also der Benutzer meldet sich lokal mit administrator an.
Sollte so nicht sein , stimmt aber ist damals (ist ein Produktionsrechner der nicht von mir installiert wurde) so von einer Firma die den Rechner lieferte eingerichtet und konfiguriert worden.
Dachte mir dabei aber auch nicht das geringste das dies solche auswirkungen haben könnte.

Die Passwörter habe ich schon bereits geändert. (War leider ein blöder Zufall das beide das gleiche Passwort hatten).
Was mich aber für die weitere Zukunft aber sehr vorsichtig stimmt wäre ja folgendes Szenario.

Jemand kommt zu mir in die Firma und hängt sich mit einem Laptop ins Netzwerk (Vorkehrungen sind hier aber getroffen . dient nur als Beispiel) und kennt zufällig von einem Mitarbeiter (die beiden waren auf ein Bier) das lokale Administatoren Passwort seines Rechners.
Nun wäre es so, das wenn nun zufällig auch ein anderer Rechner bei mir im Netzwerk (meine Aussendienstmitarbeiter haben alle lokale Administratorenrechte auf ihren Laptops und könnten ihr Passwort somit auch jederzeit ändern) das gleiche PAsswort besässe auf diesen uneingeschränkt zugegriffen werden könnte.
Und das dürfte ja wohl nicht die Sache sein oder ????
Dann wäre dies theoretisch jederzeit möglich und für mich eine der größten Sicherheitslücken die es jemals geben kann.

Was meint ihr dazu ????
Sehe ich das falsch oder ist das einfach Tatsache das es so ist.

Danke
lg
mandragora
Bitte warten ..
Mitglied: DerSchorsch
08.08.2007 um 15:54 Uhr
Hallo,

Wenn Windows auf eine Netzwerkressource zugreifen will, gibt es 2 Möglichkeiten:
1. er ist in der Domäne, dann wird das Token verwendet, dass der Benutzer bei der Anmeldung erhalten hat.
2. er ist nicht in der Domäne, dann versucht er die Anmeldung zuerst mit den aktuellen Daten des angemeldeten Benutzers. Klappt dies nicht, wird nachgefragt.

Kommt also ein Fremder mit Notebook in das Firmennetz und kennt eine gültige Zugangskennung, so kann er sich damit auch erstmal verbinden.


Du musst das Sicherheitssystem halt deinen Bedürfnissen anpassen.
z.B. warum benötigen deine Außendienstmitarbeiter überhaupt Adminrechte? Damit sie sich daheim irgendetwas aus dem Internet laden, installieren und dir dann in die Firma schleppen? Rechte immer so minimal wie möglich.
Außerdem kann man Benutzer ja so einstellen, dass sie sich nur an bestimmten PCs anmelden dürfen.
Die lokalen Administratoren kann man ja umbenennen oder deaktivieren und extra Benutzer einrichten. z.b. "NB1Admin" auf dem Rechner "NB1", "NB2Admin" auf "NB2", ...
Auch für Verwaltungsaufgaben im Netzwerk kann man sich ein eigenes Adminkonto erstellen, während der Domänen-"Administrator" ein 165-stelliges Kennwort hat und nie verwendet wird.
Eventuell kann man auch SmartCards zur Anmeldung nehmen. Selbst wenn ein Angestellter seine Pin verrät, kommt ein Fremder ohne die Smartcard nicht ins Netz.
Du kannst auch über IPSec Fremdrechner aussperren (Wenn die Verschlüsselung zuviel Last erzeugt, kann man über den "AH"-Modus immer noch das Paket authentifizieren).
etc...

Ein Sicherheitskonzept kann dir aber niemand blind vorlegen, dass musst du selber machen oder jemand hinzuziehen, der sich damit auskennt.

Mal ein paar Links (englisch), zum Einlesen:
http://www.microsoft.com/technet/security/guidance/default.mspx
http://www.nsa.gov/snac/

Gruß,
Schorsch
Bitte warten ..
Mitglied: mandragora
08.08.2007 um 16:04 Uhr
Hallo Schorsch,

Vielen Dank erstmals für deine ausführliche Antwort.
Das stimmt schon was du alles schreibst und ich werde diesbezüglich auch einiges in Bewegung setzten um dies auch zu verbessern.
Aber nichts desto trotz hätte dies passieren dürfen das diese konstelation wie sie gerade bei mir war sowas zulässt.
Ich denke da sind wir alle gleicher Meinung.

Was ich (wenns das jetzt wirklich war) jetzt noch benötigen würde, wäre eine plausible erklärung wie das ganze enstanden ist und warum das so ist.
Muss ja nun auch ein wenig Rechenschaft ablegen und das ist im Moment für mich nicht so ganz einfach.

Eventuell könnte mir jemand das nochmals soo beschreiben, erklären, aufbereiten das ich das auch einfach weitergeben kann und die Leute dies verstehen.

Danke euch schon mal

lg
mandragora
Bitte warten ..
Mitglied: DerSchorsch
08.08.2007 um 16:39 Uhr
Hallo mandragora,

naja, es ist wohl die Möglichkeit 2.) eingetreten, die ich oben beschrieben habe.
Der Rechner gehörte nicht zur Domäne. Als der Benutzer auf den Server zugegriffen hat, gab es daher kein Benutzerkonto, dass er dafür verwenden konnte. Und der Server hat daher nach Anmeldedaten gefragt (Hast du bloß nicht gemerkt). Der Client denkt sich nun:
erstmal schauen ob der Benutzername und das Passwort des gerade angemeldeten Users zufälligerweise passt...
Hat hier funktioniert und war dummerweise auch noch der Administrator des Servers. Nun hat sich der Rechner leider am Server mit dem Konto des Server-Administrators angemeldet, daher zählten auch dessen Zugriffsrechte...

Wäre der Rechner Mitglied der Domäne gewesen, wäre die Sache anders abgelaufen:
Bei der Anmeldung bekommt ein Benutzer ein Token (eine Art "Passierschein"). Damit wird dann jeder weitere Zugriff gesteuert. Greift er nun auf einen Server zu, wird der Zugriff anhand dieses Tokens geregelt. Daher werden hier die Konten korrekt auseinandergehalten, eine Prüfung des Passworts findet gar nicht erst statt.

Die Server lassen halt standardmäßig auch nicht Domänenmitglieder zu, um andere Systeme nicht auszusperren. Z.B. gibt es Netzwerkscanner, die die eingescannten Daten auf den Server ablegen wollen, Dos-Bootdisketten, Linux, Unix, MacOS-Systeme, etc...
Sobald eine gültige Kombination von Benutzername und Passwort eingegeben wird, klappt der Zugriff.
Um das einzuschränken, gibt es schon eine Reihe von Möglichkeiten. Aber die müssen schon spezifisch auf die jeweilige Umgebung angepasst werden.

Gruß,
Schorsch
Bitte warten ..
Mitglied: 51705
09.08.2007 um 19:45 Uhr
Jemand kommt zu mir in die Firma und
hängt sich mit einem Laptop ins Netzwerk
(...) und kennt
zufällig von einem Mitarbeiter (...) das lokale
Administatoren Passwort seines Rechners.
Nun wäre es so, das wenn nun
zufällig auch ein anderer Rechner bei
mir im Netzwerk (...) das gleiche PAsswort
besässe auf diesen uneingeschränkt
zugegriffen werden könnte.
Und das dürfte ja wohl nicht die Sache
sein oder ????

Klingt im ersten Moment vielleicht komisch, aber genau das ist der Sinn der Sache. Er kennt 'username' und 'password', also hat er Zugriff auf den Rechner. Dabei ist es egal, ob der 'username' 'administrator' ist, oder 'root'.

In deinem Eingangspost erleichtert lediglich die Gleichheit des Namens von Arbeitsgruppe und Domäne den Zugriff, doch das sind Daten, die nicht geheim sind.

Allerdings zeigt der Fakt von 'zufällig' gleichen Passwörtern wenig Phantasie bei der Auswahl selbiger.

Als Tip, braucht ein User lokale Adminrechte - gib sie ihm (oder einem entsprechend zusätzlichem User), aber gib ihm nicht das lokale Adminpasswort. Im allgemeinen Betrieb sollte niemand mit dem Login 'Administrator' arbeiten (auch der oder die Admin(s) nicht), sondern mit einem entsprechend personalisierten Namen. Erst so ist auch eine gewisse Nachvollziehbarkeit der Aktionen gegeben.

Hoffe geholfen zu haben.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Domain Admin Rechte auf FileServer
Frage von BlueShadow9Windows Userverwaltung3 Kommentare

Hallo allerseits, ein Kollege und ich sind dabei, unser AD aufzuräumen. Bisher ist es so, dass es keine Domain ...

Windows Server
Lokaler Admin auf Server in Domain
gelöst Frage von DirmhirnWindows Server3 Kommentare

Hi, Die lokalen Admin Konten sind auf unseren Servern etwas Stiefmütterlich behandelt worden. Jetzt wollte ich das mal auf ...

Windows 7
Anwendung starten ohne lokale Admin-Rechte
gelöst Frage von MarkusVHWindows 720 Kommentare

Hallo zusammen, ich sitze jetzt schon länger vor einer kniffligen Aufgabe welche ich nicht so zu lösen bekomme wie ...

Windows Server
Programm Funktioniert nur mit Domain Admin Rechte
gelöst Frage von ImTrainingWindows Server4 Kommentare

Guten Tag, Habe ein etwas kleineres Problem, aber suche dennoch die richtige Lösung dafür noch. Ich habe vor kurzem ...

Neue Wissensbeiträge
Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 2 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 4 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Digitiales Fernsehen

Apple TV: Amazon Prime App ist verfügbar

Information von Frank vor 4 TagenDigitiales Fernsehen4 Kommentare

Die Amazon Prime Video App kann ab sofort auf einem Apple TV ab der 3 Generation installiert werden. Einfach ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...