37414
Goto Top

Administrator-Kennwort muss wegen u.U unbefugtem Zugriff geändert werden

Guten Morgen,

nachdem mein Thread von gestern erfolgreich gelöst wurde, gibt es heute ein viel wichtigeres Problem.
Da unser ehem. IT-Verantwortlicher noch von außen auf unser System zugreifen kann, muss das Haupt-Administrator-Kennwort unbedingt geändert werden.
Wir haben noch keine IT-Firma, die unser System betreut, da das bisher dieser Mitarbeiter gemacht hat.
Heute stellen sich verschiedene Firmen vor... aber wir müssen unsere IT so schnell wie möglich absichern.

Wie schon im letzten Thread geschrieben, bin ich seit mehr als 15 Jahren aus der IT-Betreuung raus. Damals habe ich das mal gemacht... noch mit Windows NT face-smile
Daher brauche ich jetzt Eure Unterstützung oder Tipps, was man machen muss, um das Admin-KW zu ändern. Ich kann mich noch erinnern, dass das damals ein ziemlicher Aufwand war, da verhindert werden musste, dass danach verschiedene Programme / Abläufe etc. nicht mehr funktionieren.

Wie Ihr Euch vorstellen könnt, ist das eine dringende Sache...

Unser System:
Server 2016 Standard
64-Bit Betriebssystem mit Domäne
Clients alle Windows 10 Pro (64 Bit)

Danke und Gruß,
imebro
Kommentar vom Moderator certifiedit.net am 13.02.2020 um 10:32:27 Uhr
Aufgrund von Usermeldungen ist hier erstmal zu. Wie bereits erwähnt scheint ein Dienstleister bereits in den Startlöchern, bevor weiterer Schaden entsteht; konsultiere bitte diesen.

Content-ID: 546291

Url: https://administrator.de/forum/administrator-kennwort-muss-wegen-u-u-unbefugtem-zugriff-geaendert-werden-546291.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

SlainteMhath
SlainteMhath 12.02.2020 um 08:21:17 Uhr
Goto Top
Moin,

das Admin-PW zu ändern ist genau so einfach wie das Ändern eines Benutzer-PW (Ich nehme an du spricht von einem AD-Konto).
Das Problem ist herauszufinden wo das Admin-Konto noch alles verwendet wurde. Das musst du allerdings selbst herausfinden oder dir entsprechend Dienstleistung einkaufen.

lg,
Slainte
certifiedit.net
certifiedit.net 12.02.2020 um 08:21:35 Uhr
Goto Top
Junge, lass die Finger davon...

das ist dasselbe wie gestern in Grün, natürlich solltest du wissen, welche Programme alle dahinter hängen - wenn das prof(!) gemacht worden wäre, wäre das aber auch kein Problem.
MiMa89
MiMa89 12.02.2020 um 08:23:24 Uhr
Goto Top
Guten Morgen,

sofern Ihr mit dem Active-Directory arbeitet, könnt Ihr darüber ganz einfach das Kennwort vom Dom-Admin ändern.


In welchen Systemen Ihr das entsprechende Kennwort eingetragen habt, müsstest Ihr eigentlich selber wissen ;)

Aber sofern nach der Umstellung irgendetwas nicht läuft, habt ihr da zumindest schon mal einen Ansatz wo Ihr die entsprechenden Credentials ändern müsst face-smile

Aber wie immer ist Vorsicht geboten! Das Domänen Kennwort zu ändern ist immer ein wenig heikel..
Viel Erfolg.

Lg Micha
radiogugu
radiogugu 12.02.2020 aktualisiert um 08:30:22 Uhr
Goto Top
Zitat von @37414:
Da unser ehem. IT-Verantwortlicher noch von außen auf unser System zugreifen kann, muss das Haupt-Administrator-Kennwort unbedingt geändert werden.

Hallo.

Dann sperre doch zumindest einmal diesen Zugang. Wird ja eine VPN Einwahl irgendeiner Art sein. Damit ist zumindest schon einmal diese Kuh vom Eis.

Gruß
Radiogugu
emeriks
emeriks 12.02.2020 um 08:30:21 Uhr
Goto Top
Hi,
sofort alles ausschalten! face-wink

Wie kommt der alte Mitarbeiter denn da noch ran?
  1. Hausverbot erteilen
  2. Remotzugänge für diese Admin-Konten sperren
  3. Passwort in Ruhe ändern
  4. ggf. Remote-Zugänge wieder aktivieren
  5. ggf. Hausverbot wieder aufheben

E.
sabines
sabines 12.02.2020 um 08:31:26 Uhr
Goto Top
Moin,

dringend hin oder her und auch, dass Dir die IT "zugelaufen" ist, das ist Basiswissen, das auch vor 15 Jahren nicht viel anders war.
Hierfür bedarf es keinen Tread in einem Admin Forum, vor allem nicht nachdem das gleiche Thema gestern in 23 Antworten behandelt wurde.

Just my 2 cents

Gruss
37414
37414 12.02.2020 um 08:38:33 Uhr
Goto Top
Danke Euch für die schnellen Antworten.
Wie gesagt, bin ich seit vielen Jahren nicht mehr in die IT involviert, da dieser Mitarbeiter der "Alleinherrscher" sein wollte.

Ich finde den Punkt "Remotezugänge für diese Admin-Konten sperren" von "emeriks" interessant.
Was muss ich dafür tun?

Und - nach Eurer Erläuterung fiel mir eben ein, dass seit gestern (also nach der Änderung des speziellen Admin-Benutzerkontos dieses Mitarbeiters) es Probleme mit einem Programm gibt, welches wir hier nutzen.
Was muss ich tun, um dieses Programm jetzt quasi auf das neue Kennwort des Admin-Benutzerkontos umzustellen? Kann man das pauschal erklären oder ist das auch programmabhängig?

Danke,
imebro
emeriks
emeriks 12.02.2020 aktualisiert um 08:41:55 Uhr
Goto Top
Zitat von @37414:
Ich finde den Punkt "Remotezugänge für diese Admin-Konten sperren" von "emeriks" interessant.
Was muss ich dafür tun?
Alles ausschalten.
Im Ernst: Hol Dir Hilfe ins Haus. Sofort! Einmalig 1000 € für einen Tag für "Passwort ändern" ist sicher besser als das x-fache an Schaden durch einmal Geizen.
erikro
erikro 12.02.2020 um 08:47:11 Uhr
Goto Top
Moin,

1. Wieso kann der nach Ausscheiden aus dem Unternehmen noch von außen zugreifen? Das erste, was man nach Ausscheiden eines Users macht, ist, dessen Account deaktivieren.
2. Kann man etwas von außen direkt auf das Konto "Administrator" der Domain zugreifen? Dann sofort ändern. Wenn man sowas erlaubt, braucht man auch keine Firewall und keine Antivirensoftware mehr. (Ja, ich übertreibe und auch wieder nicht.)
3. Sucht Euch sofort jemanden, der was davon versteht. Wenn Ihr so schnell keinen findet, der bei Euch fest arbeiten will, dann für den Übergang einen Dienstleister. Nach dem, was Du erzählst, besteht die Gefahr, dass sich der ehemalige Mitarbeiter Hintertüren gebaut hat, von denen keiner was weiß.
4. Zu den Bemerkungen beim Ändern des PWs des "Administrators", dass dann evtl. irgendwelche Software nicht mehr funktioniert, bei der das PW eingetragen ist: Wer macht denn sowas? Pfui! Für solche Zwecke hat man einen anderen User, der genau die Rechte hat, die die SW braucht. face-wink

Du tust mir echt ein wenig leid. Ich kann mir gut vorstellen, wie Dir der Arsch brennt. face-wink

Liebe Grüße

Erik
erikro
erikro 12.02.2020 um 08:55:03 Uhr
Goto Top
Moin,

Zitat von @emeriks:
Alles ausschalten.

Ein sehr guter Rat. Zumindest die Leitung ins Internet kappen.

Im Ernst: Hol Dir Hilfe ins Haus. Sofort! Einmalig 1000 € für einen Tag für "Passwort ändern" ist sicher besser als das x-fache an Schaden durch einmal Geizen.

Auch das ein sehr guter Rat. Ich würde sogar sagen: Ein, zwei Tage Stillstand sind besser als Abfluss der Daten mit entsprechenden Folgen (Reputationsverlust, Strafe durch die Aufsichtsbehörde etc.).

Liebe Grüße

Erik
Visucius
Visucius 12.02.2020 aktualisiert um 09:10:04 Uhr
Goto Top
Der VPN-Zugang kann entweder

a) über den Server selber hergestellt werden

b) über eine "VPN-Applicances", Securitiy-Applicance, Sophos oder etwas vergl. hergestellt werden

c) üben nen simplen Router (z.B. Fritz oder ähnliches)

Ich würde von Internetanschluss kommend die Geräte daraufhin prüfen und - wenn nicht anderweitig benötigt - den kompletten VPN-Zugang schließen
Andinistrator1
Andinistrator1 12.02.2020 um 09:21:49 Uhr
Goto Top
d) eine Software, z.B. Teamviewer auf einem PC eingebunden sein in dessen Account x Clients eingebunden sind.
SlainteMhath
SlainteMhath 12.02.2020 um 09:23:59 Uhr
Goto Top
Der VPN-Zugang kann entweder ...
Ich befürchte ja, wenn man sich die Threads und Fragen zu ansieht, dass der Ex-"Admin"

a) wahrscheinlich mit dem "Administrator" Account (also als Domain-Admin) gearbeitet hat
und
b) Der Remote-Zugang über eine Host Installation von TeamViewer o.Ä. eingerichtet ist.

Warum? Weil beides am einfachsten ist.

Nochmal der Tipp: (und das ist nicht böse gemeint): Lass dir externe Hilfe ins Haus kommen. Das ganze ist dir bereits über den Kopf gewachsen und kann ggfs extreme Auswirkungen auf die komplette Firma haben.
Archeon
Archeon 12.02.2020 um 09:24:30 Uhr
Goto Top
Guten morgen,

also ganz ehrlich, wenn ich das so verfolge denke ich ihr braucht DRINGEND professionelle Hilfe und an deiner Stelle würde ich hier ab sofort nichts mehr machen, sonst wälzt man in einem Schadensfall vielleicht noch die Verantwortung auf dich ab.

Wie bereits erwähnt wurde, wenn der Mitarbeiter sich Hintertüren gebaut hat, dann wird niemand von euch in der Lage sein diese zu finden und er wird immer wieder Zugriff bekommen können, ohne das es jemand bemerkt.

Daher auch mein Rat, lass die Finger davon und holt jemanden, der dafür bezahlt wird und weiß was er macht!
Visucius
Visucius 12.02.2020 aktualisiert um 09:32:53 Uhr
Goto Top
au ja, stimmt.

Teamviewer sieht man häufig bei sowas. MMn. per se schon ne Katastrophe: Ne Firewall aktivieren und unkontrollierbare Löcher reinbohren ;)

PS: Aber jetzt auch nicht Panik verfallen. Es ist ja doch mental ein weiter Weg von "beleidigt sein" und seinem Ex-AG über sowas - mehr oder weniger nachweislich - Schaden zuzufügen. Es gibt häufiger MA, die internes "Kompromat" mitnehmen – das dann auch anzuwenden ist schon ne andere Schublade.
Andinistrator1
Andinistrator1 12.02.2020 um 09:31:20 Uhr
Goto Top
Sollte der ehemalige Kollege böse Absichten haben sollte man ggf. jetzt, bevor es zu spät ist, den
  • Stecker vom Internet ziehen
  • WLAN ausschalten

Andere Rechenzentrum fahren sich sogar komplett runter bei Verdacht einer "Infektion".
Visucius
Visucius 12.02.2020 aktualisiert um 10:02:48 Uhr
Goto Top
Zitat von @Andinistrator1:
Andere Rechenzentrum fahren sich sogar komplett runter bei Verdacht einer "Infektion".

Aber die Situation kann man doch nicht vergleichen. Hier ist der potentielle Täterkreis doch stark limitiert und die "Nutzbarkeit" der Daten ziemlich eingeschränkt - wenn man von der typischen DSGVO-Hysterie absieht.

Und im Prinzip reden wir hier über Risikovektoren, die in (fast) jeder kleinen Firma existieren. Entweder ein Externer, der Zugriff auf alles hat oder ein interner Mitarbeiter. Das ist dort doch systemimmanent. Empfohlene Vertreter-Regelungen weiten da den potentiellen "Täterkreis" ja sogar noch weiter aus. Und die gleiche Personengruppe hat dann Zugriff auf die Protokolldaten face-wink
beidermachtvongreyscull
beidermachtvongreyscull 12.02.2020 um 10:45:42 Uhr
Goto Top
Zitat von @emeriks:

Hi,
sofort alles ausschalten! face-wink

Offen gesagt, finde ich das eigentlich als den besten Weg. Ohne Remotezugang wird es schwer, ins System zu kommen.

Da der TO allerdings einräumt, nicht mehr ausreichende Kenntnis zu haben, muss ein Professional die IT-Systeme auf versteckte Zugänge prüfen und die Adminpasswörter müssen geändert werden.
SeaStorm
SeaStorm 12.02.2020 um 10:52:04 Uhr
Goto Top
Warum ziert ihr euch denn so einen externen dazu zu holen?
Ihr habt offensichtlich dringende Probleme die professionelle Betreuung benötigen.
Da sollte man doch Mal 2 oder 3 Manntage Budget frei machen um dann wieder ordentlich arbeiten zu können.man kann sich die Kosten auch hochsparen...
Spirit-of-Eli
Spirit-of-Eli 12.02.2020 um 11:34:53 Uhr
Goto Top
Moin,

würde ich mir das anschauen wäre die erste Tat Stecker ziehen und Internet Verbindung kappen.
Dann könnte ich mir ruhigen Gewissens die Infrastruktur anschauen.

Alles andere ist Käse wenn nicht vorher Vorkehrungen getroffen wurden.

Gruß
Spirit
37414
37414 12.02.2020 um 12:06:51 Uhr
Goto Top
Danke Euch für die schnelle und umfangreiche Hilfe.

Beide IT-Firmen waren jetzt zu Gesprächen hier.
Es wird uns also auch schnellstmöglich geholfen werden...

Ich hatte halt nur gehofft, ich könnte es vielleicht doch vorziehen. Aber ich sehe ja hier klar, dass ich besser die Finger davon lassen sollte und das ist mir auch lieber, da mir einfach die entspr. Kenntnisse fehlen.

Aber eine Frage noch zum gestern veränderten Benutzerkonto:
Wir müssen darüber im Moment häufig über den Rechner des MA auf DATEV zugreifen.
Aber immer wieder ist dieses Konto - für das ich ja gestern ein neues KW vergeben habe - gesperrt und ich muss es über den Server (AD) wieder entsperren.

Natürlich nehmen wir an, dass dieser MA ständig versucht, wieder an sein Konto zu kommen... aber das ist ja nur spekuliert, weil mir kein weiterer Grund einfällt, warum ein Konto ständig gesperrt ist (es sperrt sich nach 3 erfolglosen Versuchen, das KW einzugeben).
Kann das also nur dieser MA sein, der das ständig versucht oder könnte das auch einen anderen Grund haben, dass das Konto immer wieder gesperrt ist?

Gruß
imebro
Spirit-of-Eli
Spirit-of-Eli 12.02.2020 aktualisiert um 12:11:18 Uhr
Goto Top
Zitat von @37414:
Aber immer wieder ist dieses Konto - für das ich ja gestern ein neues KW vergeben habe - gesperrt und ich muss es über den Server (AD) wieder entsperren.

Das wird daran liegen, das dieses Konto noch irgend wo anders eingetragen ist und dort das alte Kennwort genutzt wird.
Darum sollte sich aber der Dienstleister kümmern. Erklärt wurde das Verfahren hier im Forum allerdings schon oft.
Der ausgeschiedene MA muss dafür nicht zwangsweise immer versuchen sich anzumelden.

Zumindest scheint es ja nicht das Dom Admin Konto zu sein. Dieses ließe sich nämlich nicht sperren.
itisnapanto
itisnapanto 12.02.2020 um 12:12:31 Uhr
Goto Top
Zitat von @37414:

Danke Euch für die schnelle und umfangreiche Hilfe.

Beide IT-Firmen waren jetzt zu Gesprächen hier.
Es wird uns also auch schnellstmöglich geholfen werden...

Ich hatte halt nur gehofft, ich könnte es vielleicht doch vorziehen. Aber ich sehe ja hier klar, dass ich besser die Finger davon lassen sollte und das ist mir auch lieber, da mir einfach die entspr. Kenntnisse fehlen.

Aber eine Frage noch zum gestern veränderten Benutzerkonto:
Wir müssen darüber im Moment häufig über den Rechner des MA auf DATEV zugreifen.
Aber immer wieder ist dieses Konto - für das ich ja gestern ein neues KW vergeben habe - gesperrt und ich muss es über den Server (AD) wieder entsperren.

Natürlich nehmen wir an, dass dieser MA ständig versucht, wieder an sein Konto zu kommen... aber das ist ja nur spekuliert, weil mir kein weiterer Grund einfällt, warum ein Konto ständig gesperrt ist (es sperrt sich nach 3 erfolglosen Versuchen, das KW einzugeben).
Kann das also nur dieser MA sein, der das ständig versucht oder könnte das auch einen anderen Grund haben, dass das Konto immer wieder gesperrt ist?

Gruß
imebro


Wer weiß welche Dienste noch mit dem Konto laufen ... Geplante Aufgaben, DaSi o.Ä . Da muss man nun mal genau sehen , wofür er das Passwort noch alles missbraucht hat .
erikro
erikro 12.02.2020 um 12:12:56 Uhr
Goto Top
Moin,

Zitat von @37414:
Natürlich nehmen wir an, dass dieser MA ständig versucht, wieder an sein Konto zu kommen... aber das ist ja nur spekuliert, weil mir kein weiterer Grund einfällt, warum ein Konto ständig gesperrt ist (es sperrt sich nach 3 erfolglosen Versuchen, das KW einzugeben).
Kann das also nur dieser MA sein, der das ständig versucht oder könnte das auch einen anderen Grund haben, dass das Konto immer wieder gesperrt ist?

Ja, das ist wahrscheinlich der Mitarbeiter. Aber vielleicht weiß er ja nichts davon. Evtl. hat er noch das Konto auf dem Smartphone konfiguriert (Email) oder auf irgend einem anderen Gerät, das nun ständig versucht, sich einzuloggen und so das Konto sperrt. Der Klassiker, wenn der User selbst das PW ändert. Ich würde da einfach mal den User komplett deaktivieren und für das Datev-Konto einen neuen User einrichten.

hth

Erik
Spirit-of-Eli
Spirit-of-Eli 12.02.2020 um 12:14:37 Uhr
Goto Top
Zitat von @erikro:

Moin,

Zitat von @37414:
Natürlich nehmen wir an, dass dieser MA ständig versucht, wieder an sein Konto zu kommen... aber das ist ja nur spekuliert, weil mir kein weiterer Grund einfällt, warum ein Konto ständig gesperrt ist (es sperrt sich nach 3 erfolglosen Versuchen, das KW einzugeben).
Kann das also nur dieser MA sein, der das ständig versucht oder könnte das auch einen anderen Grund haben, dass das Konto immer wieder gesperrt ist?

Ja, das ist wahrscheinlich der Mitarbeiter. Aber vielleicht weiß er ja nichts davon. Evtl. hat er noch das Konto auf dem Smartphone konfiguriert (Email) oder auf irgend einem anderen Gerät, das nun ständig versucht, sich einzuloggen und so das Konto sperrt. Der Klassiker, wenn der User selbst das PW ändert. Ich würde da einfach mal den User komplett deaktivieren und für das Datev-Konto einen neuen User einrichten.

hth

Erik

So geht man auch eigentlich vor wenn ein MA aus dem Unternehmen austritt. Man deaktiviert das Konto.
erikro
erikro 12.02.2020 um 12:16:55 Uhr
Goto Top
So geht man auch eigentlich vor wenn ein MA aus dem Unternehmen austritt. Man deaktiviert das Konto.

Sag ich doch die ganze Zeit. face-wink Vor allem dann, wenn es ein Admin war.
certifiedit.net
certifiedit.net 12.02.2020 um 12:21:11 Uhr
Goto Top
Zitat von @Spirit-of-Eli:
So geht man auch eigentlich vor wenn ein MA aus dem Unternehmen austritt. Man deaktiviert das Konto.


Das Problem fußt tiefer: Der User hatte wohl den Zugriff des "generischen" Administrators, zu dem war dieser generische Administrator auch an zig Systemkomponenten (was sowieso für...a) als Dienst oder sonst-was Benutzer eingerichtet. Da hängt natürlich ein Rattenschwanz dran, steht aber sinnbildlich für die IT-Sicherheit in KMU.

Ich hoffe, ihr findet einen Admin, der kompetent ist und der die ganzen Baustellen aufräumen will (und kann) und der Chef die Notwendigkeit einsieht und diese bewilligt (was ein nicht ganz unwesentlicher Nebenfakt ist.)

Grüße,

Christian
certifiedit.net
Musli18
Musli18 12.02.2020 um 15:41:49 Uhr
Goto Top
Hast du den Zugang schon gesperrt?
37414
37414 12.02.2020 um 16:36:46 Uhr
Goto Top
Danke Euch.

Ich habe nichts gesperrt und wir erhalten morgen die Angebote der beiden IT-Firmen.
Dann wird alles schnellstmöglich angegangen und ich denke, dass wir Jemand haben, der sich dann auch auskennt.
Denke dass der Admin-Account dann als erstes dran ist oder gar ein Austausch der kompletten Firewall... aber mal abwarten.

Danke jedenfalls für Eure schnelle Hilfe.

Gruß
imebro
Visucius
Visucius 12.02.2020 um 16:42:26 Uhr
Goto Top
Wenn Du nix davon umgesetzt hast, wars keine Hilfe, sondern nur Panikmache face-wink
SeaStorm
SeaStorm 12.02.2020 um 17:13:53 Uhr
Goto Top
Profis holen war der wichtigste Tipp und den hat er umgesetzt.
Vision2015
Vision2015 12.02.2020 um 18:19:43 Uhr
Goto Top
moin...
Zitat von @37414:

Danke Euch.

Ich habe nichts gesperrt und wir erhalten morgen die Angebote der beiden IT-Firmen.
oha..
Dann wird alles schnellstmöglich angegangen und ich denke, dass wir Jemand haben, der sich dann auch auskennt.
sollte so sein.... wenn nicht, könnt ihr euch ja den Administrator.de Account teilen.... face-smile
Denke dass der Admin-Account dann als erstes dran ist oder gar ein Austausch der kompletten Firewall... aber mal abwarten.
Austausch der kompletten Firewall....nicht das ihr noch mit mit kanonen auf spatzen schiessen tut.. face-smile
erst mal alles dichtmachen und prüfen reich auch!

Danke jedenfalls für Eure schnelle Hilfe.

Gruß
imebro
Frank
ITwissen
ITwissen 13.02.2020 um 06:23:56 Uhr
Goto Top
Bitte dran denken, ein IT Verantwortlicher kennt die Infrastruktur bis ins Detail.
Ich bin sicher er hat noch etliche Zugänge, die ihr erst nach Wochen finden werdet.

Sollte man sich im Streit getrennt haben, bekommt man das nur abschließend in den Griff, wenn man alles neu aufsetzt.
Visucius
Visucius 13.02.2020 aktualisiert um 07:20:51 Uhr
Goto Top
Gibts eigentlich nen Grund, warum man unbekannten Leuten sowas unterstellt?! Da ist ja bis zum Netzwerkspion auf Raspi-Basis im Doppelboden, der Daten über Wifi ausleitet (vor allem) der eigenen(!) Phantasie keine Grenze gesetzt.

Und vielleicht auch ne plausible Erklärung, was das in einer 08/15 Klein-Firma für einen Sinn macht?! Sind ja wohl keine Steuer-CDs die man da abgreifen kann. Und warum sollte man die Mühe über "Fernwartung" machen - die auch noch dokumentiert wird?! Es genügt doch völlig nen 128 GB-Stick für 30 EUR anzuschließen - in der bezahlten Arbeitszeit!

Und wer mal so ne Anfrage bekommen hat, weiß auch, dass das auf nem normalen Windows-System ohne zusätzlche (vorherige) Absicherung kaum geprüft werden kann, was da für Daten kopiert wurden.

Was zum nächsten Punkt führt:
a) WIeso unterstellt ihr, dass das Risiko kleiner wird, wenn man die Personalauswahl dem (fremden) IT-Dienstleister überlässt?!

b) Mit dem empfohlenen kompletten "Neuaufsetzen" des Systems werden zunächst auch mal alle ggfs. vorhandenen potenziellen Protokolldaten gelöscht.

VG
Keeksy
Keeksy 13.02.2020 um 07:46:57 Uhr
Goto Top
Moin ,
Leider gerade erst das Thema gesehen.

Grundlegend hättest du zuerst in den Ereignis Log des Domain Controllers unter dem Reiter Sicherheit schauen können von welchen Stellen mit dem Admin zugegriffen wird.

Aber für dich der Haupt Administrator wird für nicht benutzt hier gilt Passwort notieren und in Tresor.
Und Service Benutzer erstellen.


Grüße
Spirit-of-Eli
Spirit-of-Eli 13.02.2020 um 07:55:18 Uhr
Goto Top
Zitat von @Keeksy:
Aber für dich der Haupt Administrator wird für nicht benutzt hier gilt Passwort notieren und in Tresor.
Und Service Benutzer erstellen.

Würde es hier um den DomAdmin gehen, so würde das Konto nicht gesperrt da dieser Account im Default nicht durch zu viele Loginversuche gesperrt wird.

Basic beim hardening einer Domäne ist den Default DomAdmin zu deaktivieren und neue Accounts mit in der Sicherheitsgruppe anzulegen um genau dem entgegen zu wirken.
certifiedit.net
certifiedit.net 13.02.2020 um 08:00:42 Uhr
Goto Top
Ich glaube von hardening kann hier nicht gesprochen werden.

Übrigens @Frank, manchmal macht es schon Sinn eine Firewall raus zu schmeissen. Hatte schon Kontakt bei Neukunden, die mit bereits 5 Jahre ohne Updates gefahrene Firewalls operierten. Da war die Firewall die erste Bastion, aber für den Angreifer
erikro
erikro 13.02.2020 um 08:06:23 Uhr
Goto Top
Moin,

Zitat von @Visucius:

Gibts eigentlich nen Grund, warum man unbekannten Leuten sowas unterstellt?! Da ist ja bis zum Netzwerkspion auf Raspi-Basis im Doppelboden, der Daten über Wifi ausleitet (vor allem) der eigenen(!) Phantasie keine Grenze gesetzt.

Ja. Zum einen die Tatsache, dass 80% aller Angriffe auf Firmennetze mit Hilfe (ehemaliger) Mitarbeiter durchgeführt werden. Zum anderen die Tatsache, dass der TO hier die Frage so stellt. Wäre der ehemalige Admin im Guten gegangen, dann hätte es eine ordentliche Übergabe gegeben, die Passwörter wären geändert worden und der ehemalige Admin wäre nur noch eine theoretische Gefahr. So, wie das klingt, ist hier aber jemand im Unguten gegangen worden. Und unzufriedene (ehemalige) Mitarbeiter sind die gefährlichsten. Die wollen sich evtl. nur rächen und sinnlos Schaden anrichten.

Und vielleicht auch ne plausible Erklärung, was das in einer 08/15 Klein-Firma für einen Sinn macht?!

Rache.

Was zum nächsten Punkt führt:
a) WIeso unterstellt ihr, dass das Risiko kleiner wird, wenn man die Personalauswahl dem (fremden) IT-Dienstleister überlässt?!

Weil er hoffentlich Personal auswählt, das was davon versteht und das System ordentlich absichert.

b) Mit dem empfohlenen kompletten "Neuaufsetzen" des Systems werden zunächst auch mal alle ggfs. vorhandenen potenziellen Protokolldaten gelöscht.

Die sichert man vorher möglichst so, dass sie forensisch verwertbar sind.

Liebe Grüße

Erik
Archeon
Archeon 13.02.2020 um 08:11:41 Uhr
Goto Top
Guten Morgen
Zitat von @erikro:
Ja. Zum einen die Tatsache, dass 80% aller Angriffe auf Firmennetze mit Hilfe (ehemaliger) Mitarbeiter durchgeführt werden.
Das finde ich interessant, hast du da eventuell mal eine Quelle dazu?
certifiedit.net
certifiedit.net 13.02.2020 um 08:13:47 Uhr
Goto Top
Moin erikro,

Allgemein sollte man ein Firmennetz immer schützen, auch wenn der Admin im guten gegangen ist oder schlicht auch noch da ist. Das ist sein Job!

Unabhängig davon kann es eine Gefahr sein, gegen die man sich erwehrt, aber die Frage ist hier, ob der ehemalige Admin (welche Konstellation auch immer) denn die höchste Gefahr ist. Ich musste bereits oft genug feststellen, dass die allg. Sicherheitsregeln das eigentliche Problem sind. Darum hat(te) es Emotet auch so vergleichsweise einfach. Stichwort: Sicherheit ist so anstrengend und kompliziert (und, insbesondere zu teuer).

Viele Grüße,

Christian
certifiedit.net
37414
37414 13.02.2020 um 08:14:41 Uhr
Goto Top
Danke für Eure weiteren Kommentare, obwohl ich gerade nicht so ganz verstehe, warum einige davon schon fast einen leicht aggressiven Unterton haben.

Ich habe von Anfang an erklärt, dass ich seit mehr als 15 Jahren aus der IT raus bin und in keinerlei Dinge mehr involviert.
Ich kann also daher hier nichts machen. Benutzerkennwort ändern (sh. anderer Thread) musste aus einem bestimmten Grund sofort gemacht werden und hat mit Hilfe des Forums auch funktioniert.

Vom Haupt-Admin-KW lasse ich die Finger davon! Ist mir zu heikel und dafür würde ich auch keine Verantwortung übernehmen wollen. Das hat der Ein oder Andere hier ja auch so gesehen und geraten.

Gestern haben sich 2 IT-Firmen vorgestellt. Angebote kommen heute. Spätestens morgen wird eine dieser Firmen damit beginnen, unsere IT überprüfen... wie sie das machen, ist alleine deren Sache. Ich bin dann hier nur noch Ansprechpartner im Hause... sonst nix!!

Hier wird auch niemandem etwas unterstellt. Es gab halt Zugriffsversuche auf das Konto, dessen KW ich vorgestern verändert hatte. Mir wurde aber ja auch geschrieben, dass dies auch automatisch erfolgen könnte, wenn der MA unsere Mails über sein Handy abruft. Das habe ich verstanden und so auch weitergeleitet.

Durch die Änderung der beiden Benutzer-KW konnten wir auf ein Programm nicht zugreifen, da der MA wohl sein spezielles (nur für sich erstelltes) Admin-Konto dazu genutzt hatte, dass das Programm läuft. Aber das Problem konnte ich gestern mit der Firma lösen, die dieses Programm für uns erstell hat.

Also ist im Moment alles gut und keine Panik face-smile

Das nur zur Aufklärung...

Danke Euch für Eure Hilfe. Ich konnte aus Euren Kommentaren einige nützliche Ideen rausfiltern, die uns geholfen haben.

Gruß,
imebro
certifiedit.net
certifiedit.net 13.02.2020 um 08:15:03 Uhr
Goto Top
Zitat von @Archeon:

Guten Morgen
Zitat von @erikro:
Ja. Zum einen die Tatsache, dass 80% aller Angriffe auf Firmennetze mit Hilfe (ehemaliger) Mitarbeiter durchgeführt werden.
Das finde ich interessant, hast du da eventuell mal eine Quelle dazu?

Ich dachte 248,87%.

(Bitte auch Definition von "Angriffen", wenn ein "ich versuche nach ausscheiden noch eine VPN aufzubauen" bereits ein Angriff ist, ok, ansonsten, wohl eher nicht.)
certifiedit.net
certifiedit.net 13.02.2020 um 08:16:24 Uhr
Goto Top
Gestern haben sich 2 IT-Firmen vorgestellt. Angebote kommen heute. Spätestens morgen wird eine dieser Firmen damit beginnen, unsere IT
überprüfen... wie sie das machen, ist alleine deren Sache. Ich bin dann hier nur noch Ansprechpartner im Hause... sonst nix!!

Dann hoffen wir, dass die das profund machen und auch wirklich morgen starten können (wurde das so vereinbart?) ;)
Keeksy
Keeksy 13.02.2020 um 08:17:45 Uhr
Goto Top
Ich schließe mich @erikro an
Was alles so passiert im Rahmen verletzter Eitelkeit,
habe hier schon selbst einiges erlebt.

An den Thema Ersteller :
Ist durch diesen ehemaligen Admin eigentlich auch ein Zugriff auf besonders Schützenswerte Daten erfolgt?
Visucius
Visucius 13.02.2020 um 08:21:42 Uhr
Goto Top
Das mag ja evtl. von der Branche abhängen. Aber in so ner kleinen Klitsche macht das doch gar kein Sinn?! MMn. steigern sich die Parteien da gerade gegenseitig hoch. Und die potenziellen Dienstleister hier im Forum schütten noch ein wenig Öl dazu.

Möglich ist wahnsinnig viel. Es ist bloß gleichzeitig unwahrscheinlich weil relativ leicht auf den Verursacher rückführbar. Der Exit aus der Firma wird ja nicht dadurch versüßt, dass die Staatsanwaltschaft die Wohnung des ANs durchsucht.
certifiedit.net
certifiedit.net 13.02.2020 um 08:28:45 Uhr
Goto Top
Zitat von @Visucius:

Das mag ja evtl. von der Branche abhängen. Aber in so ner kleinen Klitsche macht das doch gar kein Sinn?! MMn. steigern sich die Parteien da gerade gegenseitig hoch.

Naja, die Frage wäre auch ggf. besser in einem anderen Forum aufgehoben.

Und die potenziellen Dienstleister hier im Forum schütten noch ein wenig Öl dazu.

Welche meinst du nun?

Möglich ist wahnsinnig viel. Es ist bloß gleichzeitig unwahrscheinlich weil relativ leicht auf den Verursacher rückführbar. Der Exit aus der Firma wird ja nicht dadurch versüßt, dass die Staatsanwaltschaft die Wohnung des ANs durchsucht.

genau das meine ich eben auch. Die 80% sind übertrieben. Schützen sollte man sich aber natürlich generell. auch 5-6 Arbeitsplätze sind 5-6 abhängige Leben.
37414
37414 13.02.2020 um 08:40:04 Uhr
Goto Top
@ Keeksy: ja, auch der Zugriff auf besonders schützenswerte Daten erfolgte durch ihn


@ All:
Könnte man eigentlich ohne zu viel Aufwand ein komplettes Backup der Emails des MA machen, damit welche davon nicht nachträglich verändert od. gelöscht werden können? Ggf. ist das aber gar nicht nötig, da wir Backups täglich auf Bandlaufwerken machen und Mails laufen über einen Exchangeserver.

LG
imebro
Spirit-of-Eli
Spirit-of-Eli 13.02.2020 um 08:42:49 Uhr
Goto Top
Zitat von @37414:
@ All:
Könnte man eigentlich ohne zu viel Aufwand ein komplettes Backup der Emails des MA machen, damit welche davon nicht nachträglich verändert od. gelöscht werden können? Ggf. ist das aber gar nicht nötig, da wir Backups täglich auf Bandlaufwerken machen und Mails laufen über einen Exchangeserver.

LG
imebro

Es kommt auf euere Backup Software an wie leicht oder schwer ihr an die Daten kommt. Veeam erlaubt das wiederherstellen von Mails.
Visucius
Visucius 13.02.2020 aktualisiert um 08:57:47 Uhr
Goto Top
Zitat von @certifiedit.net:
Welche meinst du nun?

Ausnahmsweise biste mal nicht angesprochen face-wink

Ich lese in den Beiträgen nur zwischen den Zeilen die kriminelle Energie, die frustrierten (Ex-)Admins Nachts so durch den Kopf schießt, wenn sie sich mal wieder über ihren doofen Cheffe ärgern. Und die sie jetzt einem unbekannten Dritten unterstellen face-wink

Und ja, da ist - systembedingt - wahnsinnig viel Potenzial. Aber es auch durchzuführen und dann auch noch gegen das Unternehmen einzusetzen - ist ein ganz anderer Schnack. Und gleichzeitig zu unterstellen, dass so jemand, so dämlich ist, das über ne Fernwartung zu machen - nachdem er "unter Beobachtung steht", als einziger die Möglichkeiten dazu hat und ggfs. ein externer Profi Zugang erhält um das zu kontrollieren - ist halt ziemlich konstruiert.

VG
certifiedit.net
certifiedit.net 13.02.2020 um 08:50:56 Uhr
Goto Top
Hallo,

bitte wende dich mit solchen Fragen an den ab heute in euren Diensten stehenden IT-Dienstleister, denn der ist genau dafür da ein rundes(!) Konzept zu erstellen und aufzubauen.

Ich pers. würde hierfür eine Mailarchivsoftware einsetzen, bspw Mailstore.

VG
37414
37414 13.02.2020 um 09:43:30 Uhr
Goto Top
OK und danke. Mailstore habe ich tatsächlich auch schon mal benutzt.

Die IT-Dienstleister senden ja erst heute ihre Angebote an uns und ab morgen (spätestens wohl Montag) soll es dann losgehen.

ABER...
Eben melden mir alle Kolleg/-innen, dass keine Emails von außen mehr reinkommen.
Ich hätte die Möglichkeit, den Exchangeserver neuzustarten.
Wäre das Eurer Meinung nach zunächst mal die beste Lösung?

Es ist ein Windows Server 2016 Standard.
Ggf. würde es ja auch reichen, einen Dienst wieder zu starten. Habe eben schon mal unter DIENSTE geschaut, aber bin mir nicht sicher, an welchem Dienst das liegen könnte.

Könnt Ihr helfen?

Gruß
imebro
certifiedit.net
certifiedit.net 13.02.2020 aktualisiert um 09:52:25 Uhr
Goto Top
Schreib doch die Dienstleister an, dafür hast du die und die haben zumindest einen gewissen Einblick.

Nebenbei, ändere nun mal den Titel.
Visucius
Visucius 13.02.2020 um 09:54:34 Uhr
Goto Top
Mit hinreichend (boshafter) Phantasie:

MX und TXT-Einträge kontrolliert? Wem gehört die Domain ... face-wink
erikro
erikro 13.02.2020 um 09:56:16 Uhr
Goto Top
Moin,

Zitat von @Archeon:

Guten Morgen
Zitat von @erikro:
Ja. Zum einen die Tatsache, dass 80% aller Angriffe auf Firmennetze mit Hilfe (ehemaliger) Mitarbeiter durchgeführt werden.
Das finde ich interessant, hast du da eventuell mal eine Quelle dazu?

Die Zahl habe ich mal gelernt. Das ist schon eine Weile her. Auf die Schnelle habe ich diese Quelle gefunden:
https://www.bitkom.org/Presse/Anhaenge-an-PIs/2017/07-Juli/Bitkom-Charts ...
Hier ist von 62% Mitarbeitern und 41% unternehmerisches Umfeld die Rede. Nur 7% der Täter werden der organisierten Kriminalität zugerechnet (Seite 6) bei einer Fehlertoleranz von +/- 3% (Seite 13).

Liebe Grüße

Erik
Archeon
Archeon 13.02.2020 um 10:00:22 Uhr
Goto Top
Zitat von @erikro:
Die Zahl habe ich mal gelernt. Das ist schon eine Weile her. Auf die Schnelle habe ich diese Quelle gefunden:
https://www.bitkom.org/Presse/Anhaenge-an-PIs/2017/07-Juli/Bitkom-Charts ...
Hier ist von 62% Mitarbeitern und 41% unternehmerisches Umfeld die Rede. Nur 7% der Täter werden der organisierten Kriminalität zugerechnet (Seite 6) bei einer Fehlertoleranz von +/- 3% (Seite 13).

Danke face-smile

Gruß
erikro
erikro 13.02.2020 um 10:02:45 Uhr
Goto Top
Moin,

Zitat von @certifiedit.net:

Zitat von @Archeon:
Ich dachte 248,87%.

(Bitte auch Definition von "Angriffen", wenn ein "ich versuche nach ausscheiden noch eine VPN aufzubauen" bereits ein Angriff ist, ok, ansonsten, wohl eher nicht.)

Ich meinte erfolgreiche Angriffe. Wenn ich das auf die Schnelle die aktuelle Quellenlage überblicke, dann sind es wohl "nur noch" 60-70%. Aber immer noch die große Mehrheit der erfolgreichen Angriffe, die aus dem direkten Firmenumfeld kommen.

Im Übrigen gebe ich Dir vollkommen recht, dass da in Deutschland einiges im Argen liegt.

Liebe Grüße

Erik
37414
37414 13.02.2020 um 10:05:40 Uhr
Goto Top
...wäre ein Neustart des Exchangeservers denn ein Problem?
Wie gesagt, ich hätte die Möglichkeit, ihn einfach neuzustarten.

Über die Dienste habe ich auf Anhieb nichts gefunden, was ich neustarten müßte.

LG
imebro
Spirit-of-Eli
Spirit-of-Eli 13.02.2020 um 10:09:17 Uhr
Goto Top
Zitat von @37414:

...wäre ein Neustart des Exchangeservers denn ein Problem?
Wie gesagt, ich hätte die Möglichkeit, ihn einfach neuzustarten.

Über die Dienste habe ich auf Anhieb nichts gefunden, was ich neustarten müßte.

LG
imebro

Ruf den Dienstleister an!
37414
37414 13.02.2020 um 10:12:34 Uhr
Goto Top
Es gibt noch keinen Dienstleister...

Und wir warten auf dringende Emails.

LG
imebro
Spirit-of-Eli
Spirit-of-Eli 13.02.2020 um 10:14:04 Uhr
Goto Top
Zitat von @37414:

Es gibt noch keinen Dienstleister...

Und wir warten auf dringende Emails.

LG
imebro

Anscheind brennt die Hütte doch. Dann sollen die jetzt schon arbeiten.
37414
37414 13.02.2020 um 10:15:46 Uhr
Goto Top
sorry, aber solche Kommentare helfen mir gerade mehr als wenig.
Habe einen neuen Thread eröffnet. Vielleicht erhalte ich da ja Hilfe face-wink
Archeon
Archeon 13.02.2020 um 10:16:13 Uhr
Goto Top
Zitat von @37414:

Es gibt noch keinen Dienstleister...

Und wir warten auf dringende Emails.

LG
imebro
Tut mir leid, aber was willst du jetzt hören?
Keiner kennt deine Umgebung und weiß was wie wo im Argen liegt.
Wenn du denkst du kannst die Verantwortung übernehmen, dann starte ihn neu, ansonsten lass einen Dienstleister, unabhängig von eurer bisherigen Planung, kommen und der soll das begutachten und entscheiden.

Gruß
Vision2015
Vision2015 13.02.2020 um 10:19:37 Uhr
Goto Top
Moin...

Schreib doch die Dienstleister an, dafür hast du die und die haben zumindest einen gewissen Einblick.
das sehe ich auch so....
unterschreibe einen Arbeitsauftrag, und gut ist!
sorry, aber wenn die beiden Dienstleister jetzt nicht die Dringlichkeit der sache sehen, rate ich von beiden doch ab!

Zitat von @37414:

...wäre ein Neustart des Exchangeservers denn ein Problem?
ohne deine umgebung zu kennen..... oder zu sehen... lass es sein!
prüfe mal bitte als erstes ob die Datensicherungen ok sind ( oder lasse Prüfen)
Wie gesagt, ich hätte die Möglichkeit, ihn einfach neuzustarten.
das soll dein Dienstleister erledigen!

Über die Dienste habe ich auf Anhieb nichts gefunden, was ich neustarten müßte.
tja... ist ja auch nicht dein Job!

wenn deine beiden Dienstleister auf Zack gewesen wären- hätte vor Ort mal eben nach Unterschrift /Arbeitsauftrag das nötigste erledigt werden können.... ich hoffe du sagst jetzt nicht, es war keiner da, das war nur am telefon....

Frank



LG
imebro
certifiedit.net
certifiedit.net 13.02.2020 um 10:26:50 Uhr
Goto Top
Hier ist von 62% Mitarbeitern und 41% unternehmerisches Umfeld die Rede. Nur 7% der Täter werden der organisierten Kriminalität zugerechnet (Seite 6) bei einer Fehlertoleranz von +/- 3% (Seite 13).

Problem ist: Dunkelziffer.

Hier zeigt man eben "leichter" den internen Admin an, der gechasst wurde, als dem RussianHacker, dem es viel zu einfach gemacht wurde.
Vision2015
Vision2015 13.02.2020 um 10:27:19 Uhr
Goto Top
moin....
Zitat von @37414:

Guten Morgen,

wir haben einen MS Exchangeserver 2016.
ok... einen Server für alles... oder eine VM = DC... eine VM= Exchange... eine VM= Fileserver etc...
Leider kommen keine Emails von außen mehr rein.
dann schreibe doch mal wie genau die Mails reinkommen sollten ? SMTP... POPcon etc....?!!?
was habt ihr den für eine Firewall... wird da was gefiltert etc... ????

Ich hätte Zugriff auf den Server, bin aber kein IT-Experte.
wissen wir ja schon
Kann ich den Server einfach neustarten oder könnte es danach Probleme geben?
wissen wir nicht!

Dienste habe ich schon angeschaut, aber so auf Anhieb nichts außergewöhnliches gefunden.

LG
imebro

Frank
142970
142970 13.02.2020 aktualisiert um 10:30:01 Uhr
Goto Top
Zitat von @37414:

Es gibt noch keinen Dienstleister...

Und wir warten auf dringende Emails.
Zieh die Hauptsicherung, dann wird alles ganz sicher gut und es gibt vieeeel Freizeit face-smile.

p.s. Bei euch gehen die Uhren falsch, Freitag ist erst morsche.
37414
37414 13.02.2020 um 10:45:15 Uhr
Goto Top
Nur zur Info:

Habe Exchange-Server neu gestartet.
Klappte alles problemlos.

Mails kommen jetzt von außen wieder rein!! face-smile

Gruß
imebro