11
Verstecktes Administratorkonto vor Passwort Änderung schützen?
Hallo zusammen,
ich habe eine Frage, am besten ich erkläre mal kurz die Umstände. Es geb um Notebooks. Auf diesen haben wir das lokale "versteckte" Administrator Konto aktiviert und mit einem PW versehen. Nun müssen wir die Notebooks auch für unsere Entwickler soweit freigeben das sie Software installieren können. Das geht wiederum nur mit einem Admin Konto. Also haben die Entwickler ein lokales Adminkonto. Dadurch besteht aber die Möglichkeit das PW des versteckten Admins zu ändern bzw den verstecken Admin zu deaktivieren.
Welche Möglichkeiten gibt es das zu unterbinden ?
Danke schon mal :D
Grüße
Uwe
ich habe eine Frage, am besten ich erkläre mal kurz die Umstände. Es geb um Notebooks. Auf diesen haben wir das lokale "versteckte" Administrator Konto aktiviert und mit einem PW versehen. Nun müssen wir die Notebooks auch für unsere Entwickler soweit freigeben das sie Software installieren können. Das geht wiederum nur mit einem Admin Konto. Also haben die Entwickler ein lokales Adminkonto. Dadurch besteht aber die Möglichkeit das PW des versteckten Admins zu ändern bzw den verstecken Admin zu deaktivieren.
Welche Möglichkeiten gibt es das zu unterbinden ?
Danke schon mal :D
Grüße
Uwe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 263797
Url: https://administrator.de/contentid/263797
Printed on: April 23, 2024 at 08:04 o'clock
11 Comments
Latest comment
Hallo,
keine die über ein " Hey ihr seid zwar lokaler Admin, aber last bitte die Finger von der Kontenverwaltung. Ok." hinausgeht.
Wenn die Rechner in der Domäne sind, dann kann sich der Domänenadmin immer Zugriff verschaffen und dessen Passwot kann nur ein Domänenadmin ändern.
Das Passwort von Lokalen Konten kann selbst ohne Adminkonot mit diversen Tools neu gesetzt werden etc, vondaher schriftlich vereinbaren was zu unterbleiben hat und gut ist.
Gruß
Chonta
keine die über ein " Hey ihr seid zwar lokaler Admin, aber last bitte die Finger von der Kontenverwaltung. Ok." hinausgeht.
Wenn die Rechner in der Domäne sind, dann kann sich der Domänenadmin immer Zugriff verschaffen und dessen Passwot kann nur ein Domänenadmin ändern.
Das Passwort von Lokalen Konten kann selbst ohne Adminkonot mit diversen Tools neu gesetzt werden etc, vondaher schriftlich vereinbaren was zu unterbleiben hat und gut ist.
Gruß
Chonta
Hallo Uwe,
sind die Notebooks in eine AD-Umgebung eingebunden oder werden diese ausschließlich lokal ohne AD betrieben?
LG
sind die Notebooks in eine AD-Umgebung eingebunden oder werden diese ausschließlich lokal ohne AD betrieben?
LG
Hallo,
sowohl als auch. Es gibt Notebooks mit und ohne Domain Anbindung. Ja das mit der schriftlichen Vereinbarung haben wir schon.
Vg
sowohl als auch. Es gibt Notebooks mit und ohne Domain Anbindung. Ja das mit der schriftlichen Vereinbarung haben wir schon.
Vg
Hi,
man könnte einen Scheduled Task laufen lassen oder einen Dienst, welcher z.B. alle 15 s das Passwort setzt.
z.B. mit VBscript.
Dieser Task müsste dann beim Rechnerstart mit genau diesem Administrator ausgeführt werden und ständig laufen.
Aber bedenke: Wenn das Script im Klartext auf dem Computer liegt, dann ist dort das Passwort drin! Also nicht wirklich clever. Man müsste das in eine EXE kompilieren o.ä.
E.
man könnte einen Scheduled Task laufen lassen oder einen Dienst, welcher z.B. alle 15 s das Passwort setzt.
z.B. mit VBscript.
GetObject("WinNT://localhost/administrator").SetPassword("DasIstEs!") Aber bedenke: Wenn das Script im Klartext auf dem Computer liegt, dann ist dort das Passwort drin! Also nicht wirklich clever. Man müsste das in eine EXE kompilieren o.ä.
E.
Hi.
Wenn Sie schon lokale Admins sind, ist das mit den lokalen Adminkonten ehrlich gesagt dein kleinstes Problem. Setze einfach Kennwortrichtlinien auf, die unterbinden schon, dass das Kennwort zu einfach wird.
Und dann schalte Überwachung von Kontenoperationen ein, so dass Du die Änderungen mitbekommst (erfordert ein Eventlogmanagement/einen Task, der benachrichtigt). Und zusätzlich vereinbarst Du schriftlich, dass dies eben nicht geschehen darf und deshalb überwacht wird.
@Chonta
Wenn Sie schon lokale Admins sind, ist das mit den lokalen Adminkonten ehrlich gesagt dein kleinstes Problem. Setze einfach Kennwortrichtlinien auf, die unterbinden schon, dass das Kennwort zu einfach wird.
Und dann schalte Überwachung von Kontenoperationen ein, so dass Du die Änderungen mitbekommst (erfordert ein Eventlogmanagement/einen Task, der benachrichtigt). Und zusätzlich vereinbarst Du schriftlich, dass dies eben nicht geschehen darf und deshalb überwacht wird.
@Chonta
Das Passwort von Lokalen Konten kann selbst ohne Adminkonot mit diversen Tools neu gesetzt werden
Nein. Wenn der Rechner nicht vollkommen ungepatcht ist, nicht. Dann müsstest Du schon offline ran und das widerum verhindern Verschlüsselungen.
1
Hallo,
@DerWoWusste
ich bin dabei auch von einer BootCD ausgegangen.
Und er machte sich ja Sorgen das Mitarbeiter dran rumspielen, und selbst wen diese kein Adminkonto haben, kennen die aber das Passwort um booten zu können.
Jeh nachdem welche Tools eingesetzt werden, können diese auch mit der Verschlüsselung umgeen, wenn das Passwort zum entschlüsseln bekannt ist.
Ausenstehende Angreifer sind durch Verschlüsselung der systemplatte natürlich weitgehend eingeschrenkt.
Und wenn ich nichts überlesen habe sind die Laptops nicht verschlüsselt (was bei Firmenlaptops die Außerhaus verwendet werden aber Standard sein sollte)
Gruß
Chonta
@DerWoWusste
ich bin dabei auch von einer BootCD ausgegangen.
Und er machte sich ja Sorgen das Mitarbeiter dran rumspielen, und selbst wen diese kein Adminkonto haben, kennen die aber das Passwort um booten zu können.
Jeh nachdem welche Tools eingesetzt werden, können diese auch mit der Verschlüsselung umgeen, wenn das Passwort zum entschlüsseln bekannt ist.
Ausenstehende Angreifer sind durch Verschlüsselung der systemplatte natürlich weitgehend eingeschrenkt.
Und wenn ich nichts überlesen habe sind die Laptops nicht verschlüsselt (was bei Firmenlaptops die Außerhaus verwendet werden aber Standard sein sollte)
Gruß
Chonta
Jeh nachdem welche Tools eingesetzt werden, können diese auch mit der Verschlüsselung umgeen, wenn das Passwort zum entschlüsseln bekannt ist.
Da muss man differenzieren. Ich kann jemandem z.B. die Bitlocker-PIN geben und dennoch wird er bei der Boot-CD nicht mit der PIN rankommen, sondern den ihm unbekannten Wiederherstellungsschlüssel (bzw. diese CD dank Secure-Boot nicht einmal starten können). Aber das führt zu weit 
Klingt interesannt,
klappt das auch wenn ich die Platte in einen Rechner schiebe der kein Secureboot hat bzw. ich verwende ein USB Gehäuse.
Ich muss ja von der Platte nicht booten, muss die nur um drauf zugreifen zu können entschlüüselt mounten können.
Bei uns ist kein Bitlocker im Einsatz, da MS das ja nicht allen Versionen spendiert...
Gruß
Chonta
klappt das auch wenn ich die Platte in einen Rechner schiebe der kein Secureboot hat bzw. ich verwende ein USB Gehäuse.
Ich muss ja von der Platte nicht booten, muss die nur um drauf zugreifen zu können entschlüüselt mounten können.
Bei uns ist kein Bitlocker im Einsatz, da MS das ja nicht allen Versionen spendiert...
Gruß
Chonta
Klar, das Recoverykennwort wird immer verlangt, wenn TPM im Einsatz ist und die Platte außerhalb der definierten Einsatzbedingungen benutzt wird. Und dieses Kennwort kann sich nur ein lokaler Admin beschaffen, ein User nicht.
Jaaaa!
