Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Vorschläge für Hostnamen und Passwort Vergabe bei Neuinstallationen von Client und Server

Frage Netzwerke Netzwerkgrundlagen

Mitglied: panguu

panguu (Level 2) - Jetzt verbinden

12.04.2012, aktualisiert 11:26 Uhr, 6987 Aufrufe, 5 Kommentare

Hallo liebe Administrator.de - Gemeinde,

ich möchte gerne anfangen, ein einheitliches Konzept für die Vergabe von Hostnamen und Passwörtern aufzubauen. Dabei bin ich immer noch am Überlegen, wie ich das sinnvoll umsetzen könnte.

Bisher habe ich das so umgesetzt...

Hostname
Das ist sehr unterschiedlich. Ich habe schon in bestimmten Netzwerken jedem Host einen astronomischen Namen verpasst (z.B. deneb, rigel, orion, perseus). Wenn es sich um einen PDC und BDC handelt, oder sonst einem Master und Slave, dann verwende ich einen Doppelsternnamen (z.B. Mizar+Alcor, oder Alphacentauri+Betacentauri). Hintergedanke bei dieser Namensgebung ist der: ich vermeide grundsätzlich Namen, die auf die Funktion des Hosts schließen lassen, aus Sicherheitsgründen. Meine Idee dahinter ist: wenn sich mal irgendjemand Zugriff zum Netz verschaffen sollte, dann möchte ich es ihm nicht unbedingt leicht machen und ihm nach einigen Netzwerkscans fertige Hostnamen wie (sambaserver, pdc, ns1, fileserver2) aufs Tablett servieren. Klar sind solche Hostnamen einfach zu merken, aber ich vermeide sie grundsätzlich, lasse mich aber gerne des Besseres belehren falls es plausible Argumente hierfür gibt.

Ähnlich diesem beschriebenen Verfahren habe ich auch fiktive Namen aus anderen Kategorien verwendet, z.B. Namen von Sagengestalten, Mythologie, oder auch Getränkenamen-/arten (Whisky, Bourbon, Scotch, Enzian, usw..), oder aus zig anderen Bereichen. Der Fantasie sind hier keine Grenzen gesetzt.

Loginname
Jedesmal wenn eine Maschine (egal ob Server, Client, oder irgendeine Switch / Router) installiert wird, belasse ich meistens den Standardloginnamen (admin, root, cisco, usw...) wie es der jeweilige Host schon nach der Installation vorgibt.

Passwort
und wähle ein Passwort aus mind. 8 Zeichen, ein Mix aus Gross-/Kleinbuchstaben, Ziffern und Sonderzeichen (z.B. iQ8f.K!f9hW). Ehrlich zugeben muss ich jedoch, dass ich auch noch ein 'default'-Passwort für alle möglichen Zwecke verwende. Es gibt sogar noch aus älteren Zeiten Linux-Hosts, denen ich alle dasselbe root-Passwort vergeben hatte. Das möchte ich in Zukunft eigentlich vermeiden. Ebenso all die Windows-Clients, denen hatte ich dasselbe lokale Administrator-Passwort vergeben. Das ist natürlich fatal, wenn -aus welchen Gründen auch immer- jemand das Passwort kennt. Er hätte Zugriff auf alle anderen Maschinen dieses Typs, die er ausprobieren könnte.

Meine schwer zu merkenden Passwörter notiere ich in einer eigens angefertigten IP-und-Login Excel-Liste, die ich passwortgeschützt abspeichere.

Meine Überlegungen für die Zukunft ..

Einerseits mache ich mir Gedanken wegen der geführten Liste, da ein passwortgeschütztes Excel-File auch problemlos geknackt werden könnte. Welche bessere Möglichkeit emfpiehlt sich hierfür? Ich hab auch schon von Programmen gelesen, die nichts weiter machen, als diverse Passwörter in einer Datenbank zu speichern und zu verwalten, mit viel besseren Algorithmen und somit besserem Schutz. Lohnt sich die Anschaffung solcher Passwortverwaltung-Tools ?

Andrerseits bin ich ja zwingend auf die Führung solch einer Liste/Datenbank angewiesen, da ich in Zukunft keine Standardpasswörter verwenden möchte. Der damit verbundete Nachteil wäre in meinen Augen, dass ich jedesmal diese Liste oder Datenbank öffnen muss, wenn ich mich für Administrationszwecke auf einem Host einloggen muss, um gewünschte Wartungsarbeiten durchzuführen. Ein weiterer Nachteil wäre, dass natürlich ALLE HOSTS, die in dieser Datenbank eingetragen wären schutlos ausgeliefert wären, wenn die Datenbank komprimittiert würde.

Aus Kollegenkreisen habe ich z.B. für die Hostname-Vergabe folgendes Schema gesehen: da wurde für jeden Client in der Firma eine Zahl ausgegeben, die dem Installationsdatum entsprache. Welchen Vorteil man sich dadurch erschafft bleibt mir heute noch unklar, denn in meinen Augen erschien das irgendwie sinnlos eine simple Zahl als Hostnamen zu vergeben. Andrerseits bin ich ja selbst in der missratenen Lage der Ahnungslosigkeit und bitte daher um euren Rat.

Daher würde ich gerne die Erfahrungen der zig Admins hier im Forum hören, nach welchen Regeln und Kriterien sie arbeiten, welche Gefahren bestehen, wie die Vor-/Nachteile sind und vor allem welche Taktiken angestrebt werden. Ich möchte Ideen sammeln, Anregungen einholen, um Fehler für die Zukunft weiträumig aus dem Weg gehen zu können.

Ich bedanke mich für Teilnahme an diesen Fred und hoffe auf tolle Ideen, Hinweisen und Anregungen.
Mitglied: Philipp711
12.04.2012 um 11:49 Uhr
Hallo,

Zu den Servern:

Unsere Server werden nach ihrer Aufgabe benannt. Also heißt der Dateiserver "Fileserver", der Domänencontroller "DC1 bzw. DC2" etc.. Zusätzlich dazu werden virtuelle Server mit einem vorgestellten "V" gekennzeichnet -> also z.B. "V-Fileserver".
Der Grund für diese Namen ist: "ich weiß immer schon durch den Computernamen was so alles auf der Kiste läuft" - Gut dein Angreifer weiß dann natürlich auch was wo läuft, allerdings solltest du alles dafür "tun" dass er erst gar nicht so weit kommt . Wenn er drin ist, ist es eh zu spät...

Die fiktiven Namen würden mir das Leben schwer machen. Ich würde glaube ich mehr nach den "richtigen" Servern suchen wie effektiv an diesen zu arbeiten.

Zu den Clients:

Bei uns erhält jeder Client einen Aufkleber mit einer Inventar-Nr. die dann auch in der Buchhaltungsabteilung zum Geschäftsvermögen gezählt wird. Wir bennen die Clients nach diesen Inventa-Nummern. Nebenbei wird dann noch eine Liste über die Clients geführt mit "Inventar-Nr, Standort, Betriebssystem und dem aktuellen Besitzer".

Zu den Passwörtern kann ich nur sagen, dass wir leider Gottes auch ein 12stelliges default passwort für die lokalen benutzer der Clients haben. Die Server, Router, Storage, Switche etc erhalten 12 stellige, zufällig erstellte Passwörter die durch eine Software verwaltet werden. Die software speicher natürlich alles Verschlüssel ab...
Bitte warten ..
Mitglied: nikoatit
12.04.2012 um 11:58 Uhr
Moin,

als Hostnamen Sterne und Sagengestalten ist mal etwas Neues :D
Ich kann dir nur von meinen Vorgehen berichten:

#Hostnamen:
Da es für ein Softwareverteilungstool eher schwer ist sich Sternnamen auszudenken und auch der Supporter beim Aufschalten auf eine Sagengestallt etwas in trudeln kommt, belasse ich es einfach bei einer kurzen Kennung und fortlaufender Nummer.
Heißt die Firma Max Mustermann Vertrieb, dann würde die Clientbezeichnung z.B. folgendermaßen aussehen:

Max Mustermann Vertrieb - Systemnummer: MMV-101

Das lässt sich dann auch noch nach belieben erweitern bei vielen Unterschiedlichen Systemen und Ländern:

Max Mustermann Vertrieb + Land - System (z.B. N für Notebook) + Systemnummer: MMVDE-N101

So mit kannst du in der Softwareverteilung oder alleine schon in der Netzwerkumgebung dir eine schöne fortlaufende Liste mit den Systemen anzeigen lassen.
Auch hilft es dir beim aufschalten per Remotedesktoptool.
Bei den meisten Tools kannst du in der Config einen Präfix festlegen (was hier MMVDE- wäre) und dann muss der User nur noch die letzen Zeichen nennen und schon klappt der Zugriff.
Damit der User den Hostnamen sieht sollte er gut sichtbar auf dem System geklebt sein (am besten noch mit Serienummer).
Für ein Inventorytool lässt sich eine solche Gerätebezeichnung für alle Komponenten einsetzen, also auch für Monitor, Scanner, etc. und schon kannst bei defekten ganz einfach z.B. die Restgarantie feststellen.

Bei den Namen von Druckern verwende ich Städte-Namen, da die für den Anwender leichter zu merken sind.
Ob sich dahinter ein Laser, Farbdrucker, etc. verbirgt erfährst du ja eh über die Druckereingeschaften.

#Loginname:
Also bei Usernamen gibt es für mich zwei sinnvolle Alternativen:

Bei einen Unternehmen bis 200 Mitarbeitern: vorname.nachname z.B. max.mustermann
Bei einen Unternehmen ab 200 Mitarbeitern: Firmenkürzel + Kennzeichnung ob Intern (I) oder extern (E) Mitarbeiter + Fortlaufende Nummer z.B. bei Max Mustermann Vertrieb für einen internen Mitarbeiter: MMVI1001

#Passwörter und Accounts:
Wir verwenden wir Accounts:
  • Default Administrator Account von Windows für den Zugriff auf Servern (wenn du IT-Dienstleister bist, dann solltest du das Passwort dem Kunden übergeben)
  • Domänen Administrator Account für die Supporter (wenn du IT-Dienstleister bist, dann solltest du das Passwort dem Kunden übergeben und einen zweiten Domänen-Account erstellen wo nur du das Passwort weißt)
  • Lokalen Administrator Account ist auf jeden Rechner, falls es Probleme mit Netzwerk oder Domäne gibt (wenn du IT-Dienstleister bist, dann solltest du das Passwort dem Kunden übergeben)

Die Übergabe läuft bei uns folgendermaßen wenn der Kunde selbst keinen Adminzugriff braucht bzw. kein Admin ist:
Die Passwörter ausdrucken, in einen Briefumschlag und ab in den Safe beim Kunden.

Die Passwörter der User und Domänenadmins sollten dabei am besten alle zwei Monate automatisch geändert werden bzw. die User aufgefordert.
Das Passwort von Lokalen Administrator über GPO am besten alle sechs Monate.
Beim Default Administrator Passwort muss man hier vorsichtig sein, wegen eventuellen Problem von Programmen auf dem Server.

Die Passwörter sollten schon folgendermaßen aussiehen: Großbuchstabe + 6 Kleinbuchstaben + zwei Zahlen oder Sonderzeichen.

#Passwortdatenbank:
Passwörter für Kundensysteme, eigene Systeme, Lieferantenkonten und auch Software (Keys, etc.) speichern wir alle verschlüsselt in KeePass.
Dabei ist hat jeder dieser Passworttabellen eine eigene DB mit eigenem Passwort.
Dadurch kann z.B. Unser Einkauf auch nur die DB der Lieferantenkonten öffnen.

So...Viel Text

Gruß
Bitte warten ..
Mitglied: godlie
12.04.2012 um 12:02 Uhr
Hallo,

ich hab mir angewöhnt das ich alle Geräte nach einem Schema bennene:

Gebäude_Stockwerk_Raum_Funktion_lfd
( z.b. B1_EG_SEK_BT_001 <-- Bürogebäude 1 Erdgeschoss Sekrätariat Buchungsterminal 1 )
Gebäude,Stockwerk,Raum,Funktion sind 2-3 stellige Kürzel

lfd eine 3 Stellige Zahl welche sich aus Posiiton im Rack oder Position im Raum von der Tür im Uhrzeigersinn aus ergibt.

Benutzernamen sind an die Funktion des Rechners gekopelt, da hier stetiger Wechsel der Leute vollzogen wurde / wird.

Passwörter für die Clients 8 Zeichen Groß/Klein + Zahlen <-- mehr lassen sich meine User nicht aufdrücken.

Passwörter für Geräte / Server / sonstiges 12 Zahlen Groß / Klein / Sonderzeichen + Zugehörige Liste Plaintext im Firmentresor + Liste in einer Datenbank mit langem Schlüssel zum entsperren.
Bitte warten ..
Mitglied: it-frosch
12.04.2012 um 12:35 Uhr
Hallo panguu,

Servernamen
http://openbook.galileocomputing.de/microsoft_netzwerk/microsoft_netzwe ...

Username
1 oder 2 Buchstaben vom Vorname + Familienname
z.B. Berta Eutel --> beutel

E-Mail Adressen
vorname + familienname
berta.eutel@domain.de

Passwörter
mind. 8 Zeichen aus (Großbuchstaben, Kleinbuchstaben und Zahlen) die letzten 12 Passwörter sind gesperrt

grüße vom it-frosch
Bitte warten ..
Mitglied: brammer
12.04.2012 um 14:12 Uhr
Hallo,

ich weiß das ein bekannter sein Server nach Eissorten benennt. (Cornetto, Split, Brauner Bär....)

Für die Interne nachvollziehbarkeit sind Namensvergaben wie oben bereits angeführt, lassen aber auchRückschlüsse auf die Funktion des Gerätes zu.
Das kann unter Umständen ein Risiko sein.

EIgentlich ist es egal wie die Maschinen heißen, am wichtigsten ist, das es dokumentiert und aktuell ist!!

brammer
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
MBAM 2.5 Client - Server Kommunikation

Frage von thatsright zum Thema Windows Server ...

Windows Netzwerk
Client-Server-Netzwerk einrichten (5)

Frage von Elduderino zum Thema Windows Netzwerk ...

Netzwerkgrundlagen
Wechsel Host-Terminal zur Client-Server Infrastruktur (3)

Frage von pseudonymer zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...