6
Lokaler Admin mit gleichen Rechten wie Domain Admin ?
Hallo Leute,
Ich habe ein rießengroßes Problem zu dem ich derzeit keine Antwort habe.
Das ganze Beschreibt sich derzeit so:
- Mitarbeiter meldete das an einem Produktions PC (Windows XP Pro) (in einer Arbeitsgruppe - nicht Mitglied einer Domäne) (lokale Administratorenrechte) zugriff auf das Firmennetzwerk besteht und auf viele Ordner zugegriffen werden konnte.
Der Zugriff dürfte überhaupt nicht möglich sein da der PC keinerlei Rechte innerhalb der Domäne hat.
- Ich überprüfte das ganze und musste feststellen das dies wirklich so war.
Darauf hin checkte ich sofort am Fileserver die Rechte der einzelnen Ordner.
Die Ordner waren alle einwandfrei mit Rechten versehen jedoch auch auf einigen war der lokale Administrator des Fileservers dabei (was ja auch egal sein sollte da er ja der lokale Administrator des Filservers ist und kein anderer).
- Als ich dann instiktiv den lokalen Administrator entfernte war auch der Zugriff des Produktions PC unterbunden. (was ja wieder unlogisch erscheint da wie schon gesagt der Produktions PC nicht in der Domäne (lokale Arbeitsgruppe) ist und auch keinerlei Rechte auf irgendeinen Ordner am Fileserver hat.
- Was mit dann bei meinen weiteren Nachforschungen aufgefallen ist, ist das der lokale Administrator am Fileserver und der lokale Administrator am Produktions PC die gleichen Passwörter haben. (was ja auch wiederrum egal sein sollte).
- Weiters viel mir auch auf das wenn ich vom Produktions PC aus im gesamten Netzwerk bei Klick in der Netzwerkumgebung auf einen Rechner klickte sofort das Loginfenster kahm. (alles durchwegs XP und Windows 2000 Server Maschinen) was auch passt und richtig ist.
Lediglich auf meinen W2k3 Server (Fileserver) kahm das Loginfenster nicht.
Nach Änderung des Passworts meines lokalen Administrators war auch dies unterbunden und das Loginfenster ist erschienen.
- sooo... nun frage ich mich natürlich wie das ganze passieren konnte und passiert ist.
nochmals in der kürze zusammengeschrieben:
- lokaler Admin auf einer XP Maschine in einer Arbeitsgruppe - keinerlei Rechte innerhalb der Domäne.
- lokaler Admin auf einem W2k3 Server der als Fileserver arbeitet und in einer Domäne hängt und mit Domänadminrechten verwaltet wird.
- beide lokale Admins (XP und W2k3 Server) hatten gleiches Passwort.
- Zugriff auf Ordner durch XP Maschine auf Ordner auf denen der lokale Administrator des W2k3 Servers war.
Das ganze dürfte eigentlich nicht passieren.
Ich habe auch eine externe Security Firma zu Rate gezogen die mich in dieser Sache unterstützen.
Die konnte nach erstem Augenschein sich das ganze auch nicht wirklich erklären.
Hat bitte von euch eventuell einen Rat oder Tipp was die Ursache dieses Problems sein kann.
Vielen Dank schon mal für eure Hilfe.
lg
mandragora
Ich habe ein rießengroßes Problem zu dem ich derzeit keine Antwort habe.
Das ganze Beschreibt sich derzeit so:
- Mitarbeiter meldete das an einem Produktions PC (Windows XP Pro) (in einer Arbeitsgruppe - nicht Mitglied einer Domäne) (lokale Administratorenrechte) zugriff auf das Firmennetzwerk besteht und auf viele Ordner zugegriffen werden konnte.
Der Zugriff dürfte überhaupt nicht möglich sein da der PC keinerlei Rechte innerhalb der Domäne hat.
- Ich überprüfte das ganze und musste feststellen das dies wirklich so war.
Darauf hin checkte ich sofort am Fileserver die Rechte der einzelnen Ordner.
Die Ordner waren alle einwandfrei mit Rechten versehen jedoch auch auf einigen war der lokale Administrator des Fileservers dabei (was ja auch egal sein sollte da er ja der lokale Administrator des Filservers ist und kein anderer).
- Als ich dann instiktiv den lokalen Administrator entfernte war auch der Zugriff des Produktions PC unterbunden. (was ja wieder unlogisch erscheint da wie schon gesagt der Produktions PC nicht in der Domäne (lokale Arbeitsgruppe) ist und auch keinerlei Rechte auf irgendeinen Ordner am Fileserver hat.
- Was mit dann bei meinen weiteren Nachforschungen aufgefallen ist, ist das der lokale Administrator am Fileserver und der lokale Administrator am Produktions PC die gleichen Passwörter haben. (was ja auch wiederrum egal sein sollte).
- Weiters viel mir auch auf das wenn ich vom Produktions PC aus im gesamten Netzwerk bei Klick in der Netzwerkumgebung auf einen Rechner klickte sofort das Loginfenster kahm. (alles durchwegs XP und Windows 2000 Server Maschinen) was auch passt und richtig ist.
Lediglich auf meinen W2k3 Server (Fileserver) kahm das Loginfenster nicht.
Nach Änderung des Passworts meines lokalen Administrators war auch dies unterbunden und das Loginfenster ist erschienen.
- sooo... nun frage ich mich natürlich wie das ganze passieren konnte und passiert ist.
nochmals in der kürze zusammengeschrieben:
- lokaler Admin auf einer XP Maschine in einer Arbeitsgruppe - keinerlei Rechte innerhalb der Domäne.
- lokaler Admin auf einem W2k3 Server der als Fileserver arbeitet und in einer Domäne hängt und mit Domänadminrechten verwaltet wird.
- beide lokale Admins (XP und W2k3 Server) hatten gleiches Passwort.
- Zugriff auf Ordner durch XP Maschine auf Ordner auf denen der lokale Administrator des W2k3 Servers war.
Das ganze dürfte eigentlich nicht passieren.
Ich habe auch eine externe Security Firma zu Rate gezogen die mich in dieser Sache unterstützen.
Die konnte nach erstem Augenschein sich das ganze auch nicht wirklich erklären.
Hat bitte von euch eventuell einen Rat oder Tipp was die Ursache dieses Problems sein kann.
Vielen Dank schon mal für eure Hilfe.
lg
mandragora
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 65737
Url: https://administrator.de/contentid/65737
Printed on: April 23, 2024 at 11:04 o'clock
6 Comments
Latest comment
Hi
Meldet sich der Benutzer lokal mit "administrator" an? Das sollte nicht so sein!
Wenn ja, dann sperr den Account für ihn (Passwort ändern) und gib ihm einen eigenen Account mit Admin Rechten. (klar kann er dann auch das andere PW wieder ändern). Ich bin der Meinung, dass wenn Du Dich von einem PC egal ob Domänen-Mitglied, mit demselben Benutzernamen und demselben Passwort auf einen Server verbindest, dass genau das passiert was Du beschreibst.
Lokale Admins auf PC und Server haben IMMER unterschiedliche Passwörter zu haben, besser sogar noch geänderte Benutzernamen. Genau wie auch das lokale Admin-PW nicht dem Domänen-Admin enstprechen sollte. Vermutlich heisst die lokale Workgroup noch gleich wie die Domäne....
Meldet sich der Benutzer lokal mit "administrator" an? Das sollte nicht so sein!
Wenn ja, dann sperr den Account für ihn (Passwort ändern) und gib ihm einen eigenen Account mit Admin Rechten. (klar kann er dann auch das andere PW wieder ändern). Ich bin der Meinung, dass wenn Du Dich von einem PC egal ob Domänen-Mitglied, mit demselben Benutzernamen und demselben Passwort auf einen Server verbindest, dass genau das passiert was Du beschreibst.
Lokale Admins auf PC und Server haben IMMER unterschiedliche Passwörter zu haben, besser sogar noch geänderte Benutzernamen. Genau wie auch das lokale Admin-PW nicht dem Domänen-Admin enstprechen sollte. Vermutlich heisst die lokale Workgroup noch gleich wie die Domäne....
Hi erbuc
Also der Benutzer meldet sich lokal mit administrator an.
Sollte so nicht sein , stimmt aber ist damals (ist ein Produktionsrechner der nicht von mir installiert wurde) so von einer Firma die den Rechner lieferte eingerichtet und konfiguriert worden.
Dachte mir dabei aber auch nicht das geringste das dies solche auswirkungen haben könnte.
Die Passwörter habe ich schon bereits geändert. (War leider ein blöder Zufall das beide das gleiche Passwort hatten).
Was mich aber für die weitere Zukunft aber sehr vorsichtig stimmt wäre ja folgendes Szenario.
Jemand kommt zu mir in die Firma und hängt sich mit einem Laptop ins Netzwerk (Vorkehrungen sind hier aber getroffen . dient nur als Beispiel) und kennt zufällig von einem Mitarbeiter (die beiden waren auf ein Bier) das lokale Administatoren Passwort seines Rechners.
Nun wäre es so, das wenn nun zufällig auch ein anderer Rechner bei mir im Netzwerk (meine Aussendienstmitarbeiter haben alle lokale Administratorenrechte auf ihren Laptops und könnten ihr Passwort somit auch jederzeit ändern) das gleiche PAsswort besässe auf diesen uneingeschränkt zugegriffen werden könnte.
Und das dürfte ja wohl nicht die Sache sein oder ????
Dann wäre dies theoretisch jederzeit möglich und für mich eine der größten Sicherheitslücken die es jemals geben kann.
Was meint ihr dazu ????
Sehe ich das falsch oder ist das einfach Tatsache das es so ist.
Danke
lg
mandragora
Also der Benutzer meldet sich lokal mit administrator an.
Sollte so nicht sein , stimmt aber ist damals (ist ein Produktionsrechner der nicht von mir installiert wurde) so von einer Firma die den Rechner lieferte eingerichtet und konfiguriert worden.
Dachte mir dabei aber auch nicht das geringste das dies solche auswirkungen haben könnte.
Die Passwörter habe ich schon bereits geändert. (War leider ein blöder Zufall das beide das gleiche Passwort hatten).
Was mich aber für die weitere Zukunft aber sehr vorsichtig stimmt wäre ja folgendes Szenario.
Jemand kommt zu mir in die Firma und hängt sich mit einem Laptop ins Netzwerk (Vorkehrungen sind hier aber getroffen . dient nur als Beispiel) und kennt zufällig von einem Mitarbeiter (die beiden waren auf ein Bier) das lokale Administatoren Passwort seines Rechners.
Nun wäre es so, das wenn nun zufällig auch ein anderer Rechner bei mir im Netzwerk (meine Aussendienstmitarbeiter haben alle lokale Administratorenrechte auf ihren Laptops und könnten ihr Passwort somit auch jederzeit ändern) das gleiche PAsswort besässe auf diesen uneingeschränkt zugegriffen werden könnte.
Und das dürfte ja wohl nicht die Sache sein oder ????
Dann wäre dies theoretisch jederzeit möglich und für mich eine der größten Sicherheitslücken die es jemals geben kann.
Was meint ihr dazu ????
Sehe ich das falsch oder ist das einfach Tatsache das es so ist.
Danke
lg
mandragora
Hallo,
Wenn Windows auf eine Netzwerkressource zugreifen will, gibt es 2 Möglichkeiten:
1. er ist in der Domäne, dann wird das Token verwendet, dass der Benutzer bei der Anmeldung erhalten hat.
2. er ist nicht in der Domäne, dann versucht er die Anmeldung zuerst mit den aktuellen Daten des angemeldeten Benutzers. Klappt dies nicht, wird nachgefragt.
Kommt also ein Fremder mit Notebook in das Firmennetz und kennt eine gültige Zugangskennung, so kann er sich damit auch erstmal verbinden.
Du musst das Sicherheitssystem halt deinen Bedürfnissen anpassen.
z.B. warum benötigen deine Außendienstmitarbeiter überhaupt Adminrechte? Damit sie sich daheim irgendetwas aus dem Internet laden, installieren und dir dann in die Firma schleppen? Rechte immer so minimal wie möglich.
Außerdem kann man Benutzer ja so einstellen, dass sie sich nur an bestimmten PCs anmelden dürfen.
Die lokalen Administratoren kann man ja umbenennen oder deaktivieren und extra Benutzer einrichten. z.b. "NB1Admin" auf dem Rechner "NB1", "NB2Admin" auf "NB2", ...
Auch für Verwaltungsaufgaben im Netzwerk kann man sich ein eigenes Adminkonto erstellen, während der Domänen-"Administrator" ein 165-stelliges Kennwort hat und nie verwendet wird.
Eventuell kann man auch SmartCards zur Anmeldung nehmen. Selbst wenn ein Angestellter seine Pin verrät, kommt ein Fremder ohne die Smartcard nicht ins Netz.
Du kannst auch über IPSec Fremdrechner aussperren (Wenn die Verschlüsselung zuviel Last erzeugt, kann man über den "AH"-Modus immer noch das Paket authentifizieren).
etc...
Ein Sicherheitskonzept kann dir aber niemand blind vorlegen, dass musst du selber machen oder jemand hinzuziehen, der sich damit auskennt.
Mal ein paar Links (englisch), zum Einlesen:
http://www.microsoft.com/technet/security/guidance/default.mspx
http://www.nsa.gov/snac/
Gruß,
Schorsch
Wenn Windows auf eine Netzwerkressource zugreifen will, gibt es 2 Möglichkeiten:
1. er ist in der Domäne, dann wird das Token verwendet, dass der Benutzer bei der Anmeldung erhalten hat.
2. er ist nicht in der Domäne, dann versucht er die Anmeldung zuerst mit den aktuellen Daten des angemeldeten Benutzers. Klappt dies nicht, wird nachgefragt.
Kommt also ein Fremder mit Notebook in das Firmennetz und kennt eine gültige Zugangskennung, so kann er sich damit auch erstmal verbinden.
Du musst das Sicherheitssystem halt deinen Bedürfnissen anpassen.
z.B. warum benötigen deine Außendienstmitarbeiter überhaupt Adminrechte? Damit sie sich daheim irgendetwas aus dem Internet laden, installieren und dir dann in die Firma schleppen? Rechte immer so minimal wie möglich.
Außerdem kann man Benutzer ja so einstellen, dass sie sich nur an bestimmten PCs anmelden dürfen.
Die lokalen Administratoren kann man ja umbenennen oder deaktivieren und extra Benutzer einrichten. z.b. "NB1Admin" auf dem Rechner "NB1", "NB2Admin" auf "NB2", ...
Auch für Verwaltungsaufgaben im Netzwerk kann man sich ein eigenes Adminkonto erstellen, während der Domänen-"Administrator" ein 165-stelliges Kennwort hat und nie verwendet wird.
Eventuell kann man auch SmartCards zur Anmeldung nehmen. Selbst wenn ein Angestellter seine Pin verrät, kommt ein Fremder ohne die Smartcard nicht ins Netz.
Du kannst auch über IPSec Fremdrechner aussperren (Wenn die Verschlüsselung zuviel Last erzeugt, kann man über den "AH"-Modus immer noch das Paket authentifizieren).
etc...
Ein Sicherheitskonzept kann dir aber niemand blind vorlegen, dass musst du selber machen oder jemand hinzuziehen, der sich damit auskennt.
Mal ein paar Links (englisch), zum Einlesen:
http://www.microsoft.com/technet/security/guidance/default.mspx
http://www.nsa.gov/snac/
Gruß,
Schorsch
Hallo Schorsch,
Vielen Dank erstmals für deine ausführliche Antwort.
Das stimmt schon was du alles schreibst und ich werde diesbezüglich auch einiges in Bewegung setzten um dies auch zu verbessern.
Aber nichts desto trotz hätte dies passieren dürfen das diese konstelation wie sie gerade bei mir war sowas zulässt.
Ich denke da sind wir alle gleicher Meinung.
Was ich (wenns das jetzt wirklich war) jetzt noch benötigen würde, wäre eine plausible erklärung wie das ganze enstanden ist und warum das so ist.
Muss ja nun auch ein wenig Rechenschaft ablegen und das ist im Moment für mich nicht so ganz einfach.
Eventuell könnte mir jemand das nochmals soo beschreiben, erklären, aufbereiten das ich das auch einfach weitergeben kann und die Leute dies verstehen.
Danke euch schon mal
lg
mandragora
Vielen Dank erstmals für deine ausführliche Antwort.
Das stimmt schon was du alles schreibst und ich werde diesbezüglich auch einiges in Bewegung setzten um dies auch zu verbessern.
Aber nichts desto trotz hätte dies passieren dürfen das diese konstelation wie sie gerade bei mir war sowas zulässt.
Ich denke da sind wir alle gleicher Meinung.
Was ich (wenns das jetzt wirklich war) jetzt noch benötigen würde, wäre eine plausible erklärung wie das ganze enstanden ist und warum das so ist.
Muss ja nun auch ein wenig Rechenschaft ablegen und das ist im Moment für mich nicht so ganz einfach.
Eventuell könnte mir jemand das nochmals soo beschreiben, erklären, aufbereiten das ich das auch einfach weitergeben kann und die Leute dies verstehen.
Danke euch schon mal
lg
mandragora
Hallo mandragora,
naja, es ist wohl die Möglichkeit 2.) eingetreten, die ich oben beschrieben habe.
Der Rechner gehörte nicht zur Domäne. Als der Benutzer auf den Server zugegriffen hat, gab es daher kein Benutzerkonto, dass er dafür verwenden konnte. Und der Server hat daher nach Anmeldedaten gefragt (Hast du bloß nicht gemerkt). Der Client denkt sich nun:
erstmal schauen ob der Benutzername und das Passwort des gerade angemeldeten Users zufälligerweise passt...
Hat hier funktioniert und war dummerweise auch noch der Administrator des Servers. Nun hat sich der Rechner leider am Server mit dem Konto des Server-Administrators angemeldet, daher zählten auch dessen Zugriffsrechte...
Wäre der Rechner Mitglied der Domäne gewesen, wäre die Sache anders abgelaufen:
Bei der Anmeldung bekommt ein Benutzer ein Token (eine Art "Passierschein"). Damit wird dann jeder weitere Zugriff gesteuert. Greift er nun auf einen Server zu, wird der Zugriff anhand dieses Tokens geregelt. Daher werden hier die Konten korrekt auseinandergehalten, eine Prüfung des Passworts findet gar nicht erst statt.
Die Server lassen halt standardmäßig auch nicht Domänenmitglieder zu, um andere Systeme nicht auszusperren. Z.B. gibt es Netzwerkscanner, die die eingescannten Daten auf den Server ablegen wollen, Dos-Bootdisketten, Linux, Unix, MacOS-Systeme, etc...
Sobald eine gültige Kombination von Benutzername und Passwort eingegeben wird, klappt der Zugriff.
Um das einzuschränken, gibt es schon eine Reihe von Möglichkeiten. Aber die müssen schon spezifisch auf die jeweilige Umgebung angepasst werden.
Gruß,
Schorsch
naja, es ist wohl die Möglichkeit 2.) eingetreten, die ich oben beschrieben habe.
Der Rechner gehörte nicht zur Domäne. Als der Benutzer auf den Server zugegriffen hat, gab es daher kein Benutzerkonto, dass er dafür verwenden konnte. Und der Server hat daher nach Anmeldedaten gefragt (Hast du bloß nicht gemerkt). Der Client denkt sich nun:
erstmal schauen ob der Benutzername und das Passwort des gerade angemeldeten Users zufälligerweise passt...
Hat hier funktioniert und war dummerweise auch noch der Administrator des Servers. Nun hat sich der Rechner leider am Server mit dem Konto des Server-Administrators angemeldet, daher zählten auch dessen Zugriffsrechte...
Wäre der Rechner Mitglied der Domäne gewesen, wäre die Sache anders abgelaufen:
Bei der Anmeldung bekommt ein Benutzer ein Token (eine Art "Passierschein"). Damit wird dann jeder weitere Zugriff gesteuert. Greift er nun auf einen Server zu, wird der Zugriff anhand dieses Tokens geregelt. Daher werden hier die Konten korrekt auseinandergehalten, eine Prüfung des Passworts findet gar nicht erst statt.
Die Server lassen halt standardmäßig auch nicht Domänenmitglieder zu, um andere Systeme nicht auszusperren. Z.B. gibt es Netzwerkscanner, die die eingescannten Daten auf den Server ablegen wollen, Dos-Bootdisketten, Linux, Unix, MacOS-Systeme, etc...
Sobald eine gültige Kombination von Benutzername und Passwort eingegeben wird, klappt der Zugriff.
Um das einzuschränken, gibt es schon eine Reihe von Möglichkeiten. Aber die müssen schon spezifisch auf die jeweilige Umgebung angepasst werden.
Gruß,
Schorsch
Jemand kommt zu mir in die Firma und
hängt sich mit einem Laptop ins Netzwerk
(...) und kennt
zufällig von einem Mitarbeiter (...) das lokale
Administatoren Passwort seines Rechners.
Nun wäre es so, das wenn nun
zufällig auch ein anderer Rechner bei
mir im Netzwerk (...) das gleiche PAsswort
besässe auf diesen uneingeschränkt
zugegriffen werden könnte.
Und das dürfte ja wohl nicht die Sache
sein oder ????
hängt sich mit einem Laptop ins Netzwerk
(...) und kennt
zufällig von einem Mitarbeiter (...) das lokale
Administatoren Passwort seines Rechners.
Nun wäre es so, das wenn nun
zufällig auch ein anderer Rechner bei
mir im Netzwerk (...) das gleiche PAsswort
besässe auf diesen uneingeschränkt
zugegriffen werden könnte.
Und das dürfte ja wohl nicht die Sache
sein oder ????
Klingt im ersten Moment vielleicht komisch, aber genau das ist der Sinn der Sache. Er kennt 'username' und 'password', also hat er Zugriff auf den Rechner. Dabei ist es egal, ob der 'username' 'administrator' ist, oder 'root'.
In deinem Eingangspost erleichtert lediglich die Gleichheit des Namens von Arbeitsgruppe und Domäne den Zugriff, doch das sind Daten, die nicht geheim sind.
Allerdings zeigt der Fakt von 'zufällig' gleichen Passwörtern wenig Phantasie bei der Auswahl selbiger.
Als Tip, braucht ein User lokale Adminrechte - gib sie ihm (oder einem entsprechend zusätzlichem User), aber gib ihm nicht das lokale Adminpasswort. Im allgemeinen Betrieb sollte niemand mit dem Login 'Administrator' arbeiten (auch der oder die Admin(s) nicht), sondern mit einem entsprechend personalisierten Namen. Erst so ist auch eine gewisse Nachvollziehbarkeit der Aktionen gegeben.
Hoffe geholfen zu haben.
