Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verstecktes Administratorkonto vor Passwort Änderung schützen?

Frage Microsoft Windows 7

Mitglied: KV17uwe

KV17uwe (Level 1) - Jetzt verbinden

18.02.2015, aktualisiert 10:20 Uhr, 720 Aufrufe, 11 Kommentare, 1 Danke

Hallo zusammen,

ich habe eine Frage, am besten ich erkläre mal kurz die Umstände. Es geb um Notebooks. Auf diesen haben wir das lokale "versteckte" Administrator Konto aktiviert und mit einem PW versehen. Nun müssen wir die Notebooks auch für unsere Entwickler soweit freigeben das sie Software installieren können. Das geht wiederum nur mit einem Admin Konto. Also haben die Entwickler ein lokales Adminkonto. Dadurch besteht aber die Möglichkeit das PW des versteckten Admins zu ändern bzw den verstecken Admin zu deaktivieren.

Welche Möglichkeiten gibt es das zu unterbinden ?

Danke schon mal :D

Grüße

Uwe

Mitglied: Chonta
18.02.2015 um 10:19 Uhr
Hallo,

keine die über ein " Hey ihr seid zwar lokaler Admin, aber last bitte die Finger von der Kontenverwaltung. Ok." hinausgeht.
Wenn die Rechner in der Domäne sind, dann kann sich der Domänenadmin immer Zugriff verschaffen und dessen Passwot kann nur ein Domänenadmin ändern.

Das Passwort von Lokalen Konten kann selbst ohne Adminkonot mit diversen Tools neu gesetzt werden etc, vondaher schriftlich vereinbaren was zu unterbleiben hat und gut ist.

Gruß

Chonta
Bitte warten ..
Mitglied: Sunny89
18.02.2015 um 10:22 Uhr
Hallo Uwe,

sind die Notebooks in eine AD-Umgebung eingebunden oder werden diese ausschließlich lokal ohne AD betrieben?

LG
Bitte warten ..
Mitglied: KV17uwe
18.02.2015 um 10:28 Uhr
Hallo,

sowohl als auch. Es gibt Notebooks mit und ohne Domain Anbindung. Ja das mit der schriftlichen Vereinbarung haben wir schon.

Vg
Bitte warten ..
Der Kommentar von AnkhMorpork wurde vom Moderator Dani am 18.02.15 ausgeblendet!
Mitglied: emeriks
18.02.2015, aktualisiert um 11:06 Uhr
Hi,
man könnte einen Scheduled Task laufen lassen oder einen Dienst, welcher z.B. alle 15 s das Passwort setzt.
z.B. mit VBscript.
01.
GetObject("WinNT://localhost/administrator").SetPassword("DasIstEs!")
Dieser Task müsste dann beim Rechnerstart mit genau diesem Administrator ausgeführt werden und ständig laufen.

Aber bedenke: Wenn das Script im Klartext auf dem Computer liegt, dann ist dort das Passwort drin! Also nicht wirklich clever. Man müsste das in eine EXE kompilieren o.ä.

E.
Bitte warten ..
Mitglied: DerWoWusste
18.02.2015, aktualisiert um 11:38 Uhr
Hi.

Wenn Sie schon lokale Admins sind, ist das mit den lokalen Adminkonten ehrlich gesagt dein kleinstes Problem. Setze einfach Kennwortrichtlinien auf, die unterbinden schon, dass das Kennwort zu einfach wird.
Und dann schalte Überwachung von Kontenoperationen ein, so dass Du die Änderungen mitbekommst (erfordert ein Eventlogmanagement/einen Task, der benachrichtigt). Und zusätzlich vereinbarst Du schriftlich, dass dies eben nicht geschehen darf und deshalb überwacht wird.

@Chonta
Das Passwort von Lokalen Konten kann selbst ohne Adminkonot mit diversen Tools neu gesetzt werden
Nein. Wenn der Rechner nicht vollkommen ungepatcht ist, nicht. Dann müsstest Du schon offline ran und das widerum verhindern Verschlüsselungen.
Bitte warten ..
Mitglied: Chonta
18.02.2015 um 11:51 Uhr
Hallo,

@DerWoWusste
ich bin dabei auch von einer BootCD ausgegangen.
Und er machte sich ja Sorgen das Mitarbeiter dran rumspielen, und selbst wen diese kein Adminkonto haben, kennen die aber das Passwort um booten zu können.
Jeh nachdem welche Tools eingesetzt werden, können diese auch mit der Verschlüsselung umgeen, wenn das Passwort zum entschlüsseln bekannt ist.
Ausenstehende Angreifer sind durch Verschlüsselung der systemplatte natürlich weitgehend eingeschrenkt.
Und wenn ich nichts überlesen habe sind die Laptops nicht verschlüsselt (was bei Firmenlaptops die Außerhaus verwendet werden aber Standard sein sollte)

Gruß

Chonta
Bitte warten ..
Mitglied: DerWoWusste
18.02.2015 um 11:59 Uhr
Jeh nachdem welche Tools eingesetzt werden, können diese auch mit der Verschlüsselung umgeen, wenn das Passwort zum entschlüsseln bekannt ist.
Da muss man differenzieren. Ich kann jemandem z.B. die Bitlocker-PIN geben und dennoch wird er bei der Boot-CD nicht mit der PIN rankommen, sondern den ihm unbekannten Wiederherstellungsschlüssel (bzw. diese CD dank Secure-Boot nicht einmal starten können). Aber das führt zu weit
Bitte warten ..
Mitglied: Chonta
18.02.2015 um 12:07 Uhr
Klingt interesannt,

klappt das auch wenn ich die Platte in einen Rechner schiebe der kein Secureboot hat bzw. ich verwende ein USB Gehäuse.
Ich muss ja von der Platte nicht booten, muss die nur um drauf zugreifen zu können entschlüüselt mounten können.

Bei uns ist kein Bitlocker im Einsatz, da MS das ja nicht allen Versionen spendiert...

Gruß

Chonta
Bitte warten ..
Mitglied: DerWoWusste
18.02.2015 um 12:51 Uhr
Klar, das Recoverykennwort wird immer verlangt, wenn TPM im Einsatz ist und die Platte außerhalb der definierten Einsatzbedingungen benutzt wird. Und dieses Kennwort kann sich nur ein lokaler Admin beschaffen, ein User nicht.
Bitte warten ..
Mitglied: Lochkartenstanzer
18.02.2015, aktualisiert um 14:12 Uhr
Zitat von KV17uwe:

Welche Möglichkeiten gibt es das zu unterbinden ?



Moin,

Damit sollte es gehen.

lks
Bitte warten ..
Mitglied: emeriks
18.02.2015 um 14:02 Uhr
Jaaaa!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Sicherheits-Tools
Anti-Schnüffler-Tool SAMRi10 soll Windows-Netzwerke schützen

Link von AnkhMorpork zum Thema Sicherheits-Tools ...

Windows Server
gelöst Änderung eines Registryeintrages per GPO (15)

Frage von honeybee zum Thema Windows Server ...

Windows Server
gelöst Laufwerkspfad wird nach GPO-Änderung nicht aktualisiert (4)

Frage von YotYot zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...