15
Admin aussperren!!!
Hallo habe eine sehr dringende Frage an alle die mich beraten oder helfen können. Wäre euch sehr dankbar!
Es geht um einen SBS 2011 Server mit HyperV. Ich wurde nun dazu Beauftragt unser System zu betreuen, da unser fester Admin sich nicht mehr sehen lässt und auch nun gekündigt wurde.
Mir geht es Prinzipel darum das kein Zugriff seinerseits mer auf das System möglich ist!
Passwort und feste IP ist im bekannt!
Habe bisher erstmal sein Passwort zurückgesetzt um einen Zugriff zu verhindern!
Was ist noch zu tun oder zu überprüfen um gegen nicht seriöse Administratoren geschützt zu sein.
Für eine schnelle Hilfe wäre ich dankbar!
Gruß Thomas
Es geht um einen SBS 2011 Server mit HyperV. Ich wurde nun dazu Beauftragt unser System zu betreuen, da unser fester Admin sich nicht mehr sehen lässt und auch nun gekündigt wurde.
Mir geht es Prinzipel darum das kein Zugriff seinerseits mer auf das System möglich ist!
Passwort und feste IP ist im bekannt!
Habe bisher erstmal sein Passwort zurückgesetzt um einen Zugriff zu verhindern!
Was ist noch zu tun oder zu überprüfen um gegen nicht seriöse Administratoren geschützt zu sein.
Für eine schnelle Hilfe wäre ich dankbar!
Gruß Thomas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 195535
Url: https://administrator.de/contentid/195535
Ausgedruckt am: 24.11.2024 um 22:11 Uhr
15 Kommentare
Neuester Kommentar
Hallo,
kurz um wirklich alle Passwörter ändern.
Sprich Router usw. auch nicht vergessen.
kurz um wirklich alle Passwörter ändern.
Sprich Router usw. auch nicht vergessen.
Wenn Du ganz sicher sein willst solltest Du sogar in Erwägung ziehen, das System neu aufzusetzen. Je nachdem wie motiviert und/oder versiert der Exkollege ist (und wie paranoid Du bist), wird es wohl nicht reichen, nur die Passwörter zu ändern.
Auch nicht vergessen, das er sich auch mal ein Backup mitgenommen haben könnte...
Das ist generell immer eine dumme Sache.
Auch nicht vergessen, das er sich auch mal ein Backup mitgenommen haben könnte...
Das ist generell immer eine dumme Sache.
Moin,
mal für die Paranoiden - der Backup-Account hat auch Vollzugriff (und muß den auch haben!!!!!!!!!!!!!!) und dann mal das ganze AD durchforsten - und jeden aus der Admingroup rauswerfen, der da nicht rein gehört....
Gruß
24
mal für die Paranoiden - der Backup-Account hat auch Vollzugriff (und muß den auch haben!!!!!!!!!!!!!!) und dann mal das ganze AD durchforsten - und jeden aus der Admingroup rauswerfen, der da nicht rein gehört....
Gruß
24
Hallo Thomas,
ich würde noch gucken, welche anderen Accounts ihm noch bekannt sein könnten. Hier brauchst du dir ja eigentlich nur die Benutzer mit erweiterten Rechten (Admins, Remotebenutzer) anzugucken. Alle Accounts davon, die dir unbekannt sind, würde ich erstmal deaktiveren (irgendwann morgens - damit du im Laufe des Tages noch reagieren kannst) und gucken wer sich evtl. meldet.
Welche Ferzugriffmöglichkeiten gibt es? Ist vielleicht ein Tool dabei, wo das Passwort in den Programmeinstellungen hinterlegt ist (radmin oder Ähnliches)?
Was hostet der HyperV? Was kann er da angreifen?
Natürlich sollte der Zutritt zum Server auch nicht mehr möglich sein...
Grüße,
Benni
ich würde noch gucken, welche anderen Accounts ihm noch bekannt sein könnten. Hier brauchst du dir ja eigentlich nur die Benutzer mit erweiterten Rechten (Admins, Remotebenutzer) anzugucken. Alle Accounts davon, die dir unbekannt sind, würde ich erstmal deaktiveren (irgendwann morgens - damit du im Laufe des Tages noch reagieren kannst) und gucken wer sich evtl. meldet.
Welche Ferzugriffmöglichkeiten gibt es? Ist vielleicht ein Tool dabei, wo das Passwort in den Programmeinstellungen hinterlegt ist (radmin oder Ähnliches)?
Was hostet der HyperV? Was kann er da angreifen?
Natürlich sollte der Zutritt zum Server auch nicht mehr möglich sein...
Grüße,
Benni
Hallo,
Für die Extrem Paranoiden. Wen der Admin die IP kennt, und technisch Versiert ist könnte ich auch noch Bachdor,s ins System eingebaut haben. Also wer auf nummer sicher gehen will muss / sollte auch die IP-Adresse ändern.
LG, Herbrich
Für die Extrem Paranoiden. Wen der Admin die IP kennt, und technisch Versiert ist könnte ich auch noch Bachdor,s ins System eingebaut haben. Also wer auf nummer sicher gehen will muss / sollte auch die IP-Adresse ändern.
LG, Herbrich
Für die Extrem Paranoiden. Wen der Admin die IP kennt, und technisch Versiert ist könnte ich auch noch Bachdor,s ins
System eingebaut haben. Also wer auf nummer sicher gehen will muss / sollte auch die IP-Adresse ändern.
Das geht aber Dank Ammy, Teamviewer, weiteren Tools die ähnlich funktionieren und Reverse Shells auch ganz ohne das die IP bekannt sein muss.System eingebaut haben. Also wer auf nummer sicher gehen will muss / sollte auch die IP-Adresse ändern.
Hallo
Ok, Da hilft nu Radikal Kur. Neue IP-Adresse holen; Alle Festplatten Neu Formatieren und alles neu Installieren. (Bei diese Gelegenheit die Rechner und Server einfach komplett neu nennen. Und eventuelle Remote Lösungen die Hardware basierend sind umstellen.
So kann man eventuelle geöfnnete Hintertüren beseitigen
LG, Herbrich
Das geht aber Dank Ammy, Teamviewer, weiteren Tools die ähnlich funktionieren und Reverse Shells auch ganz ohne das die IP bekannt sein muss.
Ok, Da hilft nu Radikal Kur. Neue IP-Adresse holen; Alle Festplatten Neu Formatieren und alles neu Installieren. (Bei diese Gelegenheit die Rechner und Server einfach komplett neu nennen. Und eventuelle Remote Lösungen die Hardware basierend sind umstellen.
So kann man eventuelle geöfnnete Hintertüren beseitigen
LG, Herbrich
Moin,
Ist der Admin bösartig?
Wenn "Ja", alles frisch aufsetzen.
Wenn "Nein", Alle (wirklich alle!) Paßwörter ändern. ggf auch alle Zertifikate ändern.
lks
PS: 'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind.'
Ist der Admin bösartig?
Wenn "Ja", alles frisch aufsetzen.
Wenn "Nein", Alle (wirklich alle!) Paßwörter ändern. ggf auch alle Zertifikate ändern.
lks
PS: 'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind.'
Hallo Thomas,
von meinen Vorrednern wurde ja schon fast alles gesagt, aber ergänzend wollte ich noch anmerken,
das ich an Deiner Stelle noch einen Syslog Server aufsetzen würde und zwar nicht virtuell!
Sondern eine eigenständige Lösung, die auch für Dich "abzuschotten" bzw. zu sichern ist!
die eine oder anderen "Intel Atom" basierende Lösung überfordern kann, wäre vielleicht nett zu wissen
was noch so alles zu dem Netzwerk gehört.
Ich rate Dir das aus folgendem Grund, wenn man ein bisschen zwischen den Zeilen ließt, kommt es einem
eher so vor als wenn man sich dort wie es so schön heißt nicht gütlich geeinigt und getrennt hat und nun
die dunkle Vorahnung besteht, dass Ihr demnächst ungebetenen Besuch bekommen könntet, ist ja nur meine
Meinung und kann sicherlich alles ganz anders sein.
Aber damit bist Du wenigstens abgesichert und hast etwas in der Hand, wenn es zum Fall der Fälle kommt.
Also alle Router, Switche, Server und Netzwerkgeräte auch eine gemeinsame Zeiteinstellung bringen und
dann die Protokolldateien an einem zentralen Punkt sammeln. Als Beispiel:
Alle Router und Switche schicken ihre logfiles an eine ausreichend dimensionierte "Maschine"
die gesichert ist. Also pfSense und mOnOwall würden mir dort einfallen, die sind kostenlos und
lassen sich prima so abschotten, das nur die Syslog Dateien angenommen werden und der Administrator ran kann über das Management VLAN, fertig! Bricht jetzt jemand ein, und wie es ebend so ist, möchte dieser jemand zum Schluss seine Spuren verwischen, die Protokolldateien um gewisse Einträge kürzen, muss
er die pfSense auch noch hacken und das ist eben auch nicht jedermann Stärke!
Gruß
Dobby und viel Glück ;)
von meinen Vorrednern wurde ja schon fast alles gesagt, aber ergänzend wollte ich noch anmerken,
das ich an Deiner Stelle noch einen Syslog Server aufsetzen würde und zwar nicht virtuell!
Sondern eine eigenständige Lösung, die auch für Dich "abzuschotten" bzw. zu sichern ist!
Es geht um einen SBS 2011 Server mit HyperV
Da es sich dabei garantiert nicht um das ganze "Netzwerk" handelt und Syslog Aufzeichnungen auch schnelldie eine oder anderen "Intel Atom" basierende Lösung überfordern kann, wäre vielleicht nett zu wissen
was noch so alles zu dem Netzwerk gehört.
Ich rate Dir das aus folgendem Grund, wenn man ein bisschen zwischen den Zeilen ließt, kommt es einem
eher so vor als wenn man sich dort wie es so schön heißt nicht gütlich geeinigt und getrennt hat und nun
die dunkle Vorahnung besteht, dass Ihr demnächst ungebetenen Besuch bekommen könntet, ist ja nur meine
Meinung und kann sicherlich alles ganz anders sein.
Aber damit bist Du wenigstens abgesichert und hast etwas in der Hand, wenn es zum Fall der Fälle kommt.
Also alle Router, Switche, Server und Netzwerkgeräte auch eine gemeinsame Zeiteinstellung bringen und
dann die Protokolldateien an einem zentralen Punkt sammeln. Als Beispiel:
Alle Router und Switche schicken ihre logfiles an eine ausreichend dimensionierte "Maschine"
die gesichert ist. Also pfSense und mOnOwall würden mir dort einfallen, die sind kostenlos und
lassen sich prima so abschotten, das nur die Syslog Dateien angenommen werden und der Administrator ran kann über das Management VLAN, fertig! Bricht jetzt jemand ein, und wie es ebend so ist, möchte dieser jemand zum Schluss seine Spuren verwischen, die Protokolldateien um gewisse Einträge kürzen, muss
er die pfSense auch noch hacken und das ist eben auch nicht jedermann Stärke!
Gruß
Dobby und viel Glück ;)
Meine erste Frage wäre: Wie sieht es mit deinen Kenntnissen aus?!? Denn: Es bringt dir herzlich wenig da irgendwas zu bauen - wenn du dich nur grob mit der Materie auskennst. Denn dann werden deine Sperren einfach umgangen (z.B. weil im Router noch nen Account ist,…). Weiterhin musst du idR. alle Passwörter (auch der User) ändern - da der Admin die ggf. kennt (selbst wenn ihr die Passwörter nicht direkt vergebt - es ist oft genug das User xyz dem Admin mal eben das Passwort gibt damit er da was machen kann… egal ob der das braucht oder nicht….)
Danke erstmal für die schnellen Antworten! Um dem ganzen voraus zu gehen alles in unserem Betrieb ist Legal was die Systeme und Hardware angeht. Da wir ein relativ kleines Unternehmen sind was mit Patienten Daten täglich arbeitet waren wir uns eben nun sehr unsicher wie man mit solch einer Situation umgeht. Haben nun wie empfohlen alle Passwörter geändert und bei unserem Anbieter ne Neue IP Beantragt.
Hallo Alveiva,
ich würde erst mal ein Inventur machen und alle IT Komponenten auflisten. Danach ein Hardware Netzwerkscan machen auf Layer 1 und 2. Danach das IT Security Konzept ändern. Von TExt auf Bild oder Dongle Login. Die Relevanten Schnittstellen Monitoren und einen EPO Orchestrator Server z.B. aufsetzten. Ein Budget Planung dem Chef vorlegen und einen z.B .IT Security Netzwerk Engineer fragen was er meint. Klären mit dem Alten Admin ob er noch ausstehende Gehälter oder Forderungen vom Unternehemn hat und all Verträge des alten Admin umschreiben auf den neuen. Die langsamen alten defekten Netzwerkkarten und Altlasten entsorgen. Ende des Jahres wird meistens in vielen Unternehmen, Inventur, Backups, Ferien ... gemacht da ist Hchkonjunktur für die EDV Abteilung und da muss auch jeder Lehrling Administrator ran. Wenn es mehrer Standorte gibt auch diese Aufnehmen und besichtigen. Die Patchkabel die nicht erforderlich sind entfernen. Alle Unterputzdosen abklemmen. Mit Oszi das Wlan Netzwerk deaktivieren. Info an alle externen Kontakte das ein neuer Admin mit Tel . und Email bei Bestellungen ab dem ersten Tag. erst zu kontaktierne ist und dann erst die Bestellung rausgeht. Alle Bestellungen und ihre Addressen überprüfen. Sprich mal eben zur Buchhaltung gehen. Ach ja und ein Weihnachtsgeschenk an den alten Admin schicken. Grohe Weihnachten, viel Arbeit während der Weihnachtstage und einen guten Rutsch ins neue Jahr mit neuen Systemen.
ich würde erst mal ein Inventur machen und alle IT Komponenten auflisten. Danach ein Hardware Netzwerkscan machen auf Layer 1 und 2. Danach das IT Security Konzept ändern. Von TExt auf Bild oder Dongle Login. Die Relevanten Schnittstellen Monitoren und einen EPO Orchestrator Server z.B. aufsetzten. Ein Budget Planung dem Chef vorlegen und einen z.B .IT Security Netzwerk Engineer fragen was er meint. Klären mit dem Alten Admin ob er noch ausstehende Gehälter oder Forderungen vom Unternehemn hat und all Verträge des alten Admin umschreiben auf den neuen. Die langsamen alten defekten Netzwerkkarten und Altlasten entsorgen. Ende des Jahres wird meistens in vielen Unternehmen, Inventur, Backups, Ferien ... gemacht da ist Hchkonjunktur für die EDV Abteilung und da muss auch jeder Lehrling Administrator ran. Wenn es mehrer Standorte gibt auch diese Aufnehmen und besichtigen. Die Patchkabel die nicht erforderlich sind entfernen. Alle Unterputzdosen abklemmen. Mit Oszi das Wlan Netzwerk deaktivieren. Info an alle externen Kontakte das ein neuer Admin mit Tel . und Email bei Bestellungen ab dem ersten Tag. erst zu kontaktierne ist und dann erst die Bestellung rausgeht. Alle Bestellungen und ihre Addressen überprüfen. Sprich mal eben zur Buchhaltung gehen. Ach ja und ein Weihnachtsgeschenk an den alten Admin schicken. Grohe Weihnachten, viel Arbeit während der Weihnachtstage und einen guten Rutsch ins neue Jahr mit neuen Systemen.
Hallo
Aber was soll der Schmarn mit alte Netzwerkkarten austauschen?
Damit sperrst du keinen Admin aus. Bestellungen sollten meiner Meinung nach immer jener den Einkauf laufen und Rechnungen mitessen immer geprüft werde. Wie währ's wenn wir bei der Frage bleiben?
Aber was soll der Schmarn mit alte Netzwerkkarten austauschen?
Damit sperrst du keinen Admin aus. Bestellungen sollten meiner Meinung nach immer jener den Einkauf laufen und Rechnungen mitessen immer geprüft werde. Wie währ's wenn wir bei der Frage bleiben?
Welchen Zweck soll das denn haben? Wenn Ihr eine fest Ip habt, habt Ihr normalerweise auch einen namen dazu. Abgesehen davon soltle es eine kleinigkeit sein, die neue Ip herauszubekommen. Insbesondere wenn der Ex-Admin euren Anbieter kennt und daher weiß welches AS ihm zugeordnet ist.
Wie geasgt: Ist der Admin bösartig? Denn dann muß man davon ausgehen, daß er auch hintertüren hinterlassen hat, die man nur dadurch wegbekommt, daß man alles frisch macht. Dann muß man auch die Infrastruktur durchprüfen, ob er da z.B. keinen Tap hinterlassen hat, mit dem er per Mobilfunk reinkommt. Mobilfunkrouter kosten unter 100€ und können unauffällig an irgendeinen switch gehängt werden. Auch ein kleiner Raspberry o.ä fällt nirgendwo auf, wenn man ihn geschickt anbringt.
Von daher: erst prüfen, welche Aufwand Ihr treiben wollt und könnt, um alle Maßnahmen für so einen Fall durchzuführen.
Hallo,
Na, da muss einer doch erstmal sehr Bößartig sein. Werden bei euch die IP,s an einer Zentralen Stelle Vergeben, oder aufgelistet??
Dann einfach mal Inventur machen und schauen welches Gerät welche IP hat. Und wen was auffällt was da nicht sien sollte. Dann kann man es villeicht eingrenzen. (Die Abteilung hat diesen und jenen IP-Pool). Und dann weiß man wo eventuell noch was eingesteckt sein könnte.
Und nicht zu Varachten sind (wen man schon so extrem vorsichtig ist^^) W-LAN AP,s. Diese können ihre SSID verstecken und so fällt er garnicht so sehr auf. Gut so ganz bequem währe das ja nicht da der Böse Admin dann zu euch hinfahren müsste. Aber sicher ist sicher
LG, Herbrich
Mobielfunk Router??
Na, da muss einer doch erstmal sehr Bößartig sein. Werden bei euch die IP,s an einer Zentralen Stelle Vergeben, oder aufgelistet??
Dann einfach mal Inventur machen und schauen welches Gerät welche IP hat. Und wen was auffällt was da nicht sien sollte. Dann kann man es villeicht eingrenzen. (Die Abteilung hat diesen und jenen IP-Pool). Und dann weiß man wo eventuell noch was eingesteckt sein könnte.
Und nicht zu Varachten sind (wen man schon so extrem vorsichtig ist^^) W-LAN AP,s. Diese können ihre SSID verstecken und so fällt er garnicht so sehr auf. Gut so ganz bequem währe das ja nicht da der Böse Admin dann zu euch hinfahren müsste. Aber sicher ist sicher
LG, Herbrich
