37414
12.02.2020, aktualisiert am 13.02.2020
6584
67
0
Administrator-Kennwort muss wegen u.U unbefugtem Zugriff geändert werden
Guten Morgen,
nachdem mein Thread von gestern erfolgreich gelöst wurde, gibt es heute ein viel wichtigeres Problem.
Da unser ehem. IT-Verantwortlicher noch von außen auf unser System zugreifen kann, muss das Haupt-Administrator-Kennwort unbedingt geändert werden.
Wir haben noch keine IT-Firma, die unser System betreut, da das bisher dieser Mitarbeiter gemacht hat.
Heute stellen sich verschiedene Firmen vor... aber wir müssen unsere IT so schnell wie möglich absichern.
Wie schon im letzten Thread geschrieben, bin ich seit mehr als 15 Jahren aus der IT-Betreuung raus. Damals habe ich das mal gemacht... noch mit Windows NT
Daher brauche ich jetzt Eure Unterstützung oder Tipps, was man machen muss, um das Admin-KW zu ändern. Ich kann mich noch erinnern, dass das damals ein ziemlicher Aufwand war, da verhindert werden musste, dass danach verschiedene Programme / Abläufe etc. nicht mehr funktionieren.
Wie Ihr Euch vorstellen könnt, ist das eine dringende Sache...
Unser System:
Server 2016 Standard
64-Bit Betriebssystem mit Domäne
Clients alle Windows 10 Pro (64 Bit)
Danke und Gruß,
imebro
nachdem mein Thread von gestern erfolgreich gelöst wurde, gibt es heute ein viel wichtigeres Problem.
Da unser ehem. IT-Verantwortlicher noch von außen auf unser System zugreifen kann, muss das Haupt-Administrator-Kennwort unbedingt geändert werden.
Wir haben noch keine IT-Firma, die unser System betreut, da das bisher dieser Mitarbeiter gemacht hat.
Heute stellen sich verschiedene Firmen vor... aber wir müssen unsere IT so schnell wie möglich absichern.
Wie schon im letzten Thread geschrieben, bin ich seit mehr als 15 Jahren aus der IT-Betreuung raus. Damals habe ich das mal gemacht... noch mit Windows NT
Daher brauche ich jetzt Eure Unterstützung oder Tipps, was man machen muss, um das Admin-KW zu ändern. Ich kann mich noch erinnern, dass das damals ein ziemlicher Aufwand war, da verhindert werden musste, dass danach verschiedene Programme / Abläufe etc. nicht mehr funktionieren.
Wie Ihr Euch vorstellen könnt, ist das eine dringende Sache...
Unser System:
Server 2016 Standard
64-Bit Betriebssystem mit Domäne
Clients alle Windows 10 Pro (64 Bit)
Danke und Gruß,
imebro
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Kommentar vom Moderator certifiedit.net am 13.02.2020 um 10:32:27 Uhr
Aufgrund von Usermeldungen ist hier erstmal zu. Wie bereits erwähnt scheint ein Dienstleister bereits in den Startlöchern, bevor weiterer Schaden entsteht; konsultiere bitte diesen.
Content-ID: 546291
Url: https://administrator.de/forum/administrator-kennwort-muss-wegen-u-u-unbefugtem-zugriff-geaendert-werden-546291.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
67 Kommentare
Neuester Kommentar
Moin,
das Admin-PW zu ändern ist genau so einfach wie das Ändern eines Benutzer-PW (Ich nehme an du spricht von einem AD-Konto).
Das Problem ist herauszufinden wo das Admin-Konto noch alles verwendet wurde. Das musst du allerdings selbst herausfinden oder dir entsprechend Dienstleistung einkaufen.
lg,
Slainte
das Admin-PW zu ändern ist genau so einfach wie das Ändern eines Benutzer-PW (Ich nehme an du spricht von einem AD-Konto).
Das Problem ist herauszufinden wo das Admin-Konto noch alles verwendet wurde. Das musst du allerdings selbst herausfinden oder dir entsprechend Dienstleistung einkaufen.
lg,
Slainte
Guten Morgen,
sofern Ihr mit dem Active-Directory arbeitet, könnt Ihr darüber ganz einfach das Kennwort vom Dom-Admin ändern.
In welchen Systemen Ihr das entsprechende Kennwort eingetragen habt, müsstest Ihr eigentlich selber wissen ;)
Aber sofern nach der Umstellung irgendetwas nicht läuft, habt ihr da zumindest schon mal einen Ansatz wo Ihr die entsprechenden Credentials ändern müsst
Aber wie immer ist Vorsicht geboten! Das Domänen Kennwort zu ändern ist immer ein wenig heikel..
Viel Erfolg.
Lg Micha
sofern Ihr mit dem Active-Directory arbeitet, könnt Ihr darüber ganz einfach das Kennwort vom Dom-Admin ändern.
In welchen Systemen Ihr das entsprechende Kennwort eingetragen habt, müsstest Ihr eigentlich selber wissen ;)
Aber sofern nach der Umstellung irgendetwas nicht läuft, habt ihr da zumindest schon mal einen Ansatz wo Ihr die entsprechenden Credentials ändern müsst
Aber wie immer ist Vorsicht geboten! Das Domänen Kennwort zu ändern ist immer ein wenig heikel..
Viel Erfolg.
Lg Micha
Zitat von @37414:
Da unser ehem. IT-Verantwortlicher noch von außen auf unser System zugreifen kann, muss das Haupt-Administrator-Kennwort unbedingt geändert werden.
Da unser ehem. IT-Verantwortlicher noch von außen auf unser System zugreifen kann, muss das Haupt-Administrator-Kennwort unbedingt geändert werden.
Hallo.
Dann sperre doch zumindest einmal diesen Zugang. Wird ja eine VPN Einwahl irgendeiner Art sein. Damit ist zumindest schon einmal diese Kuh vom Eis.
Gruß
Radiogugu
Zitat von @37414:
Ich finde den Punkt "Remotezugänge für diese Admin-Konten sperren" von "emeriks" interessant.
Was muss ich dafür tun?
Alles ausschalten.Ich finde den Punkt "Remotezugänge für diese Admin-Konten sperren" von "emeriks" interessant.
Was muss ich dafür tun?
Im Ernst: Hol Dir Hilfe ins Haus. Sofort! Einmalig 1000 € für einen Tag für "Passwort ändern" ist sicher besser als das x-fache an Schaden durch einmal Geizen.
Moin,
1. Wieso kann der nach Ausscheiden aus dem Unternehmen noch von außen zugreifen? Das erste, was man nach Ausscheiden eines Users macht, ist, dessen Account deaktivieren.
2. Kann man etwas von außen direkt auf das Konto "Administrator" der Domain zugreifen? Dann sofort ändern. Wenn man sowas erlaubt, braucht man auch keine Firewall und keine Antivirensoftware mehr. (Ja, ich übertreibe und auch wieder nicht.)
3. Sucht Euch sofort jemanden, der was davon versteht. Wenn Ihr so schnell keinen findet, der bei Euch fest arbeiten will, dann für den Übergang einen Dienstleister. Nach dem, was Du erzählst, besteht die Gefahr, dass sich der ehemalige Mitarbeiter Hintertüren gebaut hat, von denen keiner was weiß.
4. Zu den Bemerkungen beim Ändern des PWs des "Administrators", dass dann evtl. irgendwelche Software nicht mehr funktioniert, bei der das PW eingetragen ist: Wer macht denn sowas? Pfui! Für solche Zwecke hat man einen anderen User, der genau die Rechte hat, die die SW braucht.
Du tust mir echt ein wenig leid. Ich kann mir gut vorstellen, wie Dir der Arsch brennt.
Liebe Grüße
Erik
1. Wieso kann der nach Ausscheiden aus dem Unternehmen noch von außen zugreifen? Das erste, was man nach Ausscheiden eines Users macht, ist, dessen Account deaktivieren.
2. Kann man etwas von außen direkt auf das Konto "Administrator" der Domain zugreifen? Dann sofort ändern. Wenn man sowas erlaubt, braucht man auch keine Firewall und keine Antivirensoftware mehr. (Ja, ich übertreibe und auch wieder nicht.)
3. Sucht Euch sofort jemanden, der was davon versteht. Wenn Ihr so schnell keinen findet, der bei Euch fest arbeiten will, dann für den Übergang einen Dienstleister. Nach dem, was Du erzählst, besteht die Gefahr, dass sich der ehemalige Mitarbeiter Hintertüren gebaut hat, von denen keiner was weiß.
4. Zu den Bemerkungen beim Ändern des PWs des "Administrators", dass dann evtl. irgendwelche Software nicht mehr funktioniert, bei der das PW eingetragen ist: Wer macht denn sowas? Pfui! Für solche Zwecke hat man einen anderen User, der genau die Rechte hat, die die SW braucht.
Du tust mir echt ein wenig leid. Ich kann mir gut vorstellen, wie Dir der Arsch brennt.
Liebe Grüße
Erik
Moin,
Ein sehr guter Rat. Zumindest die Leitung ins Internet kappen.
Auch das ein sehr guter Rat. Ich würde sogar sagen: Ein, zwei Tage Stillstand sind besser als Abfluss der Daten mit entsprechenden Folgen (Reputationsverlust, Strafe durch die Aufsichtsbehörde etc.).
Liebe Grüße
Erik
Ein sehr guter Rat. Zumindest die Leitung ins Internet kappen.
Im Ernst: Hol Dir Hilfe ins Haus. Sofort! Einmalig 1000 € für einen Tag für "Passwort ändern" ist sicher besser als das x-fache an Schaden durch einmal Geizen.
Auch das ein sehr guter Rat. Ich würde sogar sagen: Ein, zwei Tage Stillstand sind besser als Abfluss der Daten mit entsprechenden Folgen (Reputationsverlust, Strafe durch die Aufsichtsbehörde etc.).
Liebe Grüße
Erik
Der VPN-Zugang kann entweder
a) über den Server selber hergestellt werden
b) über eine "VPN-Applicances", Securitiy-Applicance, Sophos oder etwas vergl. hergestellt werden
c) üben nen simplen Router (z.B. Fritz oder ähnliches)
Ich würde von Internetanschluss kommend die Geräte daraufhin prüfen und - wenn nicht anderweitig benötigt - den kompletten VPN-Zugang schließen
a) über den Server selber hergestellt werden
b) über eine "VPN-Applicances", Securitiy-Applicance, Sophos oder etwas vergl. hergestellt werden
c) üben nen simplen Router (z.B. Fritz oder ähnliches)
Ich würde von Internetanschluss kommend die Geräte daraufhin prüfen und - wenn nicht anderweitig benötigt - den kompletten VPN-Zugang schließen
Der VPN-Zugang kann entweder ...
Ich befürchte ja, wenn man sich die Threads und Fragen zu ansieht, dass der Ex-"Admin"a) wahrscheinlich mit dem "Administrator" Account (also als Domain-Admin) gearbeitet hat
und
b) Der Remote-Zugang über eine Host Installation von TeamViewer o.Ä. eingerichtet ist.
Warum? Weil beides am einfachsten ist.
Nochmal der Tipp: (und das ist nicht böse gemeint): Lass dir externe Hilfe ins Haus kommen. Das ganze ist dir bereits über den Kopf gewachsen und kann ggfs extreme Auswirkungen auf die komplette Firma haben.
Guten morgen,
also ganz ehrlich, wenn ich das so verfolge denke ich ihr braucht DRINGEND professionelle Hilfe und an deiner Stelle würde ich hier ab sofort nichts mehr machen, sonst wälzt man in einem Schadensfall vielleicht noch die Verantwortung auf dich ab.
Wie bereits erwähnt wurde, wenn der Mitarbeiter sich Hintertüren gebaut hat, dann wird niemand von euch in der Lage sein diese zu finden und er wird immer wieder Zugriff bekommen können, ohne das es jemand bemerkt.
Daher auch mein Rat, lass die Finger davon und holt jemanden, der dafür bezahlt wird und weiß was er macht!
also ganz ehrlich, wenn ich das so verfolge denke ich ihr braucht DRINGEND professionelle Hilfe und an deiner Stelle würde ich hier ab sofort nichts mehr machen, sonst wälzt man in einem Schadensfall vielleicht noch die Verantwortung auf dich ab.
Wie bereits erwähnt wurde, wenn der Mitarbeiter sich Hintertüren gebaut hat, dann wird niemand von euch in der Lage sein diese zu finden und er wird immer wieder Zugriff bekommen können, ohne das es jemand bemerkt.
Daher auch mein Rat, lass die Finger davon und holt jemanden, der dafür bezahlt wird und weiß was er macht!
au ja, stimmt.
Teamviewer sieht man häufig bei sowas. MMn. per se schon ne Katastrophe: Ne Firewall aktivieren und unkontrollierbare Löcher reinbohren ;)
PS: Aber jetzt auch nicht Panik verfallen. Es ist ja doch mental ein weiter Weg von "beleidigt sein" und seinem Ex-AG über sowas - mehr oder weniger nachweislich - Schaden zuzufügen. Es gibt häufiger MA, die internes "Kompromat" mitnehmen – das dann auch anzuwenden ist schon ne andere Schublade.
Teamviewer sieht man häufig bei sowas. MMn. per se schon ne Katastrophe: Ne Firewall aktivieren und unkontrollierbare Löcher reinbohren ;)
PS: Aber jetzt auch nicht Panik verfallen. Es ist ja doch mental ein weiter Weg von "beleidigt sein" und seinem Ex-AG über sowas - mehr oder weniger nachweislich - Schaden zuzufügen. Es gibt häufiger MA, die internes "Kompromat" mitnehmen – das dann auch anzuwenden ist schon ne andere Schublade.
Zitat von @Andinistrator1:
Andere Rechenzentrum fahren sich sogar komplett runter bei Verdacht einer "Infektion".
Andere Rechenzentrum fahren sich sogar komplett runter bei Verdacht einer "Infektion".
Aber die Situation kann man doch nicht vergleichen. Hier ist der potentielle Täterkreis doch stark limitiert und die "Nutzbarkeit" der Daten ziemlich eingeschränkt - wenn man von der typischen DSGVO-Hysterie absieht.
Und im Prinzip reden wir hier über Risikovektoren, die in (fast) jeder kleinen Firma existieren. Entweder ein Externer, der Zugriff auf alles hat oder ein interner Mitarbeiter. Das ist dort doch systemimmanent. Empfohlene Vertreter-Regelungen weiten da den potentiellen "Täterkreis" ja sogar noch weiter aus. Und die gleiche Personengruppe hat dann Zugriff auf die Protokolldaten
Offen gesagt, finde ich das eigentlich als den besten Weg. Ohne Remotezugang wird es schwer, ins System zu kommen.
Da der TO allerdings einräumt, nicht mehr ausreichende Kenntnis zu haben, muss ein Professional die IT-Systeme auf versteckte Zugänge prüfen und die Adminpasswörter müssen geändert werden.
Zitat von @37414:
Aber immer wieder ist dieses Konto - für das ich ja gestern ein neues KW vergeben habe - gesperrt und ich muss es über den Server (AD) wieder entsperren.
Aber immer wieder ist dieses Konto - für das ich ja gestern ein neues KW vergeben habe - gesperrt und ich muss es über den Server (AD) wieder entsperren.
Das wird daran liegen, das dieses Konto noch irgend wo anders eingetragen ist und dort das alte Kennwort genutzt wird.
Darum sollte sich aber der Dienstleister kümmern. Erklärt wurde das Verfahren hier im Forum allerdings schon oft.
Der ausgeschiedene MA muss dafür nicht zwangsweise immer versuchen sich anzumelden.
Zumindest scheint es ja nicht das Dom Admin Konto zu sein. Dieses ließe sich nämlich nicht sperren.
Zitat von @37414:
Danke Euch für die schnelle und umfangreiche Hilfe.
Beide IT-Firmen waren jetzt zu Gesprächen hier.
Es wird uns also auch schnellstmöglich geholfen werden...
Ich hatte halt nur gehofft, ich könnte es vielleicht doch vorziehen. Aber ich sehe ja hier klar, dass ich besser die Finger davon lassen sollte und das ist mir auch lieber, da mir einfach die entspr. Kenntnisse fehlen.
Aber eine Frage noch zum gestern veränderten Benutzerkonto:
Wir müssen darüber im Moment häufig über den Rechner des MA auf DATEV zugreifen.
Aber immer wieder ist dieses Konto - für das ich ja gestern ein neues KW vergeben habe - gesperrt und ich muss es über den Server (AD) wieder entsperren.
Natürlich nehmen wir an, dass dieser MA ständig versucht, wieder an sein Konto zu kommen... aber das ist ja nur spekuliert, weil mir kein weiterer Grund einfällt, warum ein Konto ständig gesperrt ist (es sperrt sich nach 3 erfolglosen Versuchen, das KW einzugeben).
Kann das also nur dieser MA sein, der das ständig versucht oder könnte das auch einen anderen Grund haben, dass das Konto immer wieder gesperrt ist?
Gruß
imebro
Danke Euch für die schnelle und umfangreiche Hilfe.
Beide IT-Firmen waren jetzt zu Gesprächen hier.
Es wird uns also auch schnellstmöglich geholfen werden...
Ich hatte halt nur gehofft, ich könnte es vielleicht doch vorziehen. Aber ich sehe ja hier klar, dass ich besser die Finger davon lassen sollte und das ist mir auch lieber, da mir einfach die entspr. Kenntnisse fehlen.
Aber eine Frage noch zum gestern veränderten Benutzerkonto:
Wir müssen darüber im Moment häufig über den Rechner des MA auf DATEV zugreifen.
Aber immer wieder ist dieses Konto - für das ich ja gestern ein neues KW vergeben habe - gesperrt und ich muss es über den Server (AD) wieder entsperren.
Natürlich nehmen wir an, dass dieser MA ständig versucht, wieder an sein Konto zu kommen... aber das ist ja nur spekuliert, weil mir kein weiterer Grund einfällt, warum ein Konto ständig gesperrt ist (es sperrt sich nach 3 erfolglosen Versuchen, das KW einzugeben).
Kann das also nur dieser MA sein, der das ständig versucht oder könnte das auch einen anderen Grund haben, dass das Konto immer wieder gesperrt ist?
Gruß
imebro
Wer weiß welche Dienste noch mit dem Konto laufen ... Geplante Aufgaben, DaSi o.Ä . Da muss man nun mal genau sehen , wofür er das Passwort noch alles missbraucht hat .
Moin,
Ja, das ist wahrscheinlich der Mitarbeiter. Aber vielleicht weiß er ja nichts davon. Evtl. hat er noch das Konto auf dem Smartphone konfiguriert (Email) oder auf irgend einem anderen Gerät, das nun ständig versucht, sich einzuloggen und so das Konto sperrt. Der Klassiker, wenn der User selbst das PW ändert. Ich würde da einfach mal den User komplett deaktivieren und für das Datev-Konto einen neuen User einrichten.
hth
Erik
Zitat von @37414:
Natürlich nehmen wir an, dass dieser MA ständig versucht, wieder an sein Konto zu kommen... aber das ist ja nur spekuliert, weil mir kein weiterer Grund einfällt, warum ein Konto ständig gesperrt ist (es sperrt sich nach 3 erfolglosen Versuchen, das KW einzugeben).
Kann das also nur dieser MA sein, der das ständig versucht oder könnte das auch einen anderen Grund haben, dass das Konto immer wieder gesperrt ist?
Natürlich nehmen wir an, dass dieser MA ständig versucht, wieder an sein Konto zu kommen... aber das ist ja nur spekuliert, weil mir kein weiterer Grund einfällt, warum ein Konto ständig gesperrt ist (es sperrt sich nach 3 erfolglosen Versuchen, das KW einzugeben).
Kann das also nur dieser MA sein, der das ständig versucht oder könnte das auch einen anderen Grund haben, dass das Konto immer wieder gesperrt ist?
Ja, das ist wahrscheinlich der Mitarbeiter. Aber vielleicht weiß er ja nichts davon. Evtl. hat er noch das Konto auf dem Smartphone konfiguriert (Email) oder auf irgend einem anderen Gerät, das nun ständig versucht, sich einzuloggen und so das Konto sperrt. Der Klassiker, wenn der User selbst das PW ändert. Ich würde da einfach mal den User komplett deaktivieren und für das Datev-Konto einen neuen User einrichten.
hth
Erik
Zitat von @erikro:
Moin,
Ja, das ist wahrscheinlich der Mitarbeiter. Aber vielleicht weiß er ja nichts davon. Evtl. hat er noch das Konto auf dem Smartphone konfiguriert (Email) oder auf irgend einem anderen Gerät, das nun ständig versucht, sich einzuloggen und so das Konto sperrt. Der Klassiker, wenn der User selbst das PW ändert. Ich würde da einfach mal den User komplett deaktivieren und für das Datev-Konto einen neuen User einrichten.
hth
Erik
Moin,
Zitat von @37414:
Natürlich nehmen wir an, dass dieser MA ständig versucht, wieder an sein Konto zu kommen... aber das ist ja nur spekuliert, weil mir kein weiterer Grund einfällt, warum ein Konto ständig gesperrt ist (es sperrt sich nach 3 erfolglosen Versuchen, das KW einzugeben).
Kann das also nur dieser MA sein, der das ständig versucht oder könnte das auch einen anderen Grund haben, dass das Konto immer wieder gesperrt ist?
Natürlich nehmen wir an, dass dieser MA ständig versucht, wieder an sein Konto zu kommen... aber das ist ja nur spekuliert, weil mir kein weiterer Grund einfällt, warum ein Konto ständig gesperrt ist (es sperrt sich nach 3 erfolglosen Versuchen, das KW einzugeben).
Kann das also nur dieser MA sein, der das ständig versucht oder könnte das auch einen anderen Grund haben, dass das Konto immer wieder gesperrt ist?
Ja, das ist wahrscheinlich der Mitarbeiter. Aber vielleicht weiß er ja nichts davon. Evtl. hat er noch das Konto auf dem Smartphone konfiguriert (Email) oder auf irgend einem anderen Gerät, das nun ständig versucht, sich einzuloggen und so das Konto sperrt. Der Klassiker, wenn der User selbst das PW ändert. Ich würde da einfach mal den User komplett deaktivieren und für das Datev-Konto einen neuen User einrichten.
hth
Erik
So geht man auch eigentlich vor wenn ein MA aus dem Unternehmen austritt. Man deaktiviert das Konto.
Zitat von @Spirit-of-Eli:
So geht man auch eigentlich vor wenn ein MA aus dem Unternehmen austritt. Man deaktiviert das Konto.
So geht man auch eigentlich vor wenn ein MA aus dem Unternehmen austritt. Man deaktiviert das Konto.
Das Problem fußt tiefer: Der User hatte wohl den Zugriff des "generischen" Administrators, zu dem war dieser generische Administrator auch an zig Systemkomponenten (was sowieso für...a) als Dienst oder sonst-was Benutzer eingerichtet. Da hängt natürlich ein Rattenschwanz dran, steht aber sinnbildlich für die IT-Sicherheit in KMU.
Ich hoffe, ihr findet einen Admin, der kompetent ist und der die ganzen Baustellen aufräumen will (und kann) und der Chef die Notwendigkeit einsieht und diese bewilligt (was ein nicht ganz unwesentlicher Nebenfakt ist.)
Grüße,
Christian
certifiedit.net
moin...
erst mal alles dichtmachen und prüfen reich auch!
Danke jedenfalls für Eure schnelle Hilfe.
Gruß
imebro
Frank
Zitat von @37414:
Danke Euch.
Ich habe nichts gesperrt und wir erhalten morgen die Angebote der beiden IT-Firmen.
oha..Danke Euch.
Ich habe nichts gesperrt und wir erhalten morgen die Angebote der beiden IT-Firmen.
Dann wird alles schnellstmöglich angegangen und ich denke, dass wir Jemand haben, der sich dann auch auskennt.
sollte so sein.... wenn nicht, könnt ihr euch ja den Administrator.de Account teilen.... Denke dass der Admin-Account dann als erstes dran ist oder gar ein Austausch der kompletten Firewall... aber mal abwarten.
Austausch der kompletten Firewall....nicht das ihr noch mit mit kanonen auf spatzen schiessen tut.. erst mal alles dichtmachen und prüfen reich auch!
Danke jedenfalls für Eure schnelle Hilfe.
Gruß
imebro
Gibts eigentlich nen Grund, warum man unbekannten Leuten sowas unterstellt?! Da ist ja bis zum Netzwerkspion auf Raspi-Basis im Doppelboden, der Daten über Wifi ausleitet (vor allem) der eigenen(!) Phantasie keine Grenze gesetzt.
Und vielleicht auch ne plausible Erklärung, was das in einer 08/15 Klein-Firma für einen Sinn macht?! Sind ja wohl keine Steuer-CDs die man da abgreifen kann. Und warum sollte man die Mühe über "Fernwartung" machen - die auch noch dokumentiert wird?! Es genügt doch völlig nen 128 GB-Stick für 30 EUR anzuschließen - in der bezahlten Arbeitszeit!
Und wer mal so ne Anfrage bekommen hat, weiß auch, dass das auf nem normalen Windows-System ohne zusätzlche (vorherige) Absicherung kaum geprüft werden kann, was da für Daten kopiert wurden.
Was zum nächsten Punkt führt:
a) WIeso unterstellt ihr, dass das Risiko kleiner wird, wenn man die Personalauswahl dem (fremden) IT-Dienstleister überlässt?!
b) Mit dem empfohlenen kompletten "Neuaufsetzen" des Systems werden zunächst auch mal alle ggfs. vorhandenen potenziellen Protokolldaten gelöscht.
VG
Und vielleicht auch ne plausible Erklärung, was das in einer 08/15 Klein-Firma für einen Sinn macht?! Sind ja wohl keine Steuer-CDs die man da abgreifen kann. Und warum sollte man die Mühe über "Fernwartung" machen - die auch noch dokumentiert wird?! Es genügt doch völlig nen 128 GB-Stick für 30 EUR anzuschließen - in der bezahlten Arbeitszeit!
Und wer mal so ne Anfrage bekommen hat, weiß auch, dass das auf nem normalen Windows-System ohne zusätzlche (vorherige) Absicherung kaum geprüft werden kann, was da für Daten kopiert wurden.
Was zum nächsten Punkt führt:
a) WIeso unterstellt ihr, dass das Risiko kleiner wird, wenn man die Personalauswahl dem (fremden) IT-Dienstleister überlässt?!
b) Mit dem empfohlenen kompletten "Neuaufsetzen" des Systems werden zunächst auch mal alle ggfs. vorhandenen potenziellen Protokolldaten gelöscht.
VG
Moin ,
Leider gerade erst das Thema gesehen.
Grundlegend hättest du zuerst in den Ereignis Log des Domain Controllers unter dem Reiter Sicherheit schauen können von welchen Stellen mit dem Admin zugegriffen wird.
Aber für dich der Haupt Administrator wird für nicht benutzt hier gilt Passwort notieren und in Tresor.
Und Service Benutzer erstellen.
Grüße
Leider gerade erst das Thema gesehen.
Grundlegend hättest du zuerst in den Ereignis Log des Domain Controllers unter dem Reiter Sicherheit schauen können von welchen Stellen mit dem Admin zugegriffen wird.
Aber für dich der Haupt Administrator wird für nicht benutzt hier gilt Passwort notieren und in Tresor.
Und Service Benutzer erstellen.
Grüße
Zitat von @Keeksy:
Aber für dich der Haupt Administrator wird für nicht benutzt hier gilt Passwort notieren und in Tresor.
Und Service Benutzer erstellen.
Aber für dich der Haupt Administrator wird für nicht benutzt hier gilt Passwort notieren und in Tresor.
Und Service Benutzer erstellen.
Würde es hier um den DomAdmin gehen, so würde das Konto nicht gesperrt da dieser Account im Default nicht durch zu viele Loginversuche gesperrt wird.
Basic beim hardening einer Domäne ist den Default DomAdmin zu deaktivieren und neue Accounts mit in der Sicherheitsgruppe anzulegen um genau dem entgegen zu wirken.
Ich glaube von hardening kann hier nicht gesprochen werden.
Übrigens @Frank, manchmal macht es schon Sinn eine Firewall raus zu schmeissen. Hatte schon Kontakt bei Neukunden, die mit bereits 5 Jahre ohne Updates gefahrene Firewalls operierten. Da war die Firewall die erste Bastion, aber für den Angreifer
Übrigens @Frank, manchmal macht es schon Sinn eine Firewall raus zu schmeissen. Hatte schon Kontakt bei Neukunden, die mit bereits 5 Jahre ohne Updates gefahrene Firewalls operierten. Da war die Firewall die erste Bastion, aber für den Angreifer
Moin,
Ja. Zum einen die Tatsache, dass 80% aller Angriffe auf Firmennetze mit Hilfe (ehemaliger) Mitarbeiter durchgeführt werden. Zum anderen die Tatsache, dass der TO hier die Frage so stellt. Wäre der ehemalige Admin im Guten gegangen, dann hätte es eine ordentliche Übergabe gegeben, die Passwörter wären geändert worden und der ehemalige Admin wäre nur noch eine theoretische Gefahr. So, wie das klingt, ist hier aber jemand im Unguten gegangen worden. Und unzufriedene (ehemalige) Mitarbeiter sind die gefährlichsten. Die wollen sich evtl. nur rächen und sinnlos Schaden anrichten.
Rache.
Weil er hoffentlich Personal auswählt, das was davon versteht und das System ordentlich absichert.
Die sichert man vorher möglichst so, dass sie forensisch verwertbar sind.
Liebe Grüße
Erik
Zitat von @Visucius:
Gibts eigentlich nen Grund, warum man unbekannten Leuten sowas unterstellt?! Da ist ja bis zum Netzwerkspion auf Raspi-Basis im Doppelboden, der Daten über Wifi ausleitet (vor allem) der eigenen(!) Phantasie keine Grenze gesetzt.
Gibts eigentlich nen Grund, warum man unbekannten Leuten sowas unterstellt?! Da ist ja bis zum Netzwerkspion auf Raspi-Basis im Doppelboden, der Daten über Wifi ausleitet (vor allem) der eigenen(!) Phantasie keine Grenze gesetzt.
Ja. Zum einen die Tatsache, dass 80% aller Angriffe auf Firmennetze mit Hilfe (ehemaliger) Mitarbeiter durchgeführt werden. Zum anderen die Tatsache, dass der TO hier die Frage so stellt. Wäre der ehemalige Admin im Guten gegangen, dann hätte es eine ordentliche Übergabe gegeben, die Passwörter wären geändert worden und der ehemalige Admin wäre nur noch eine theoretische Gefahr. So, wie das klingt, ist hier aber jemand im Unguten gegangen worden. Und unzufriedene (ehemalige) Mitarbeiter sind die gefährlichsten. Die wollen sich evtl. nur rächen und sinnlos Schaden anrichten.
Und vielleicht auch ne plausible Erklärung, was das in einer 08/15 Klein-Firma für einen Sinn macht?!
Rache.
Was zum nächsten Punkt führt:
a) WIeso unterstellt ihr, dass das Risiko kleiner wird, wenn man die Personalauswahl dem (fremden) IT-Dienstleister überlässt?!
a) WIeso unterstellt ihr, dass das Risiko kleiner wird, wenn man die Personalauswahl dem (fremden) IT-Dienstleister überlässt?!
Weil er hoffentlich Personal auswählt, das was davon versteht und das System ordentlich absichert.
b) Mit dem empfohlenen kompletten "Neuaufsetzen" des Systems werden zunächst auch mal alle ggfs. vorhandenen potenziellen Protokolldaten gelöscht.
Die sichert man vorher möglichst so, dass sie forensisch verwertbar sind.
Liebe Grüße
Erik
Guten Morgen
Zitat von @erikro:
Ja. Zum einen die Tatsache, dass 80% aller Angriffe auf Firmennetze mit Hilfe (ehemaliger) Mitarbeiter durchgeführt werden.
Das finde ich interessant, hast du da eventuell mal eine Quelle dazu?Ja. Zum einen die Tatsache, dass 80% aller Angriffe auf Firmennetze mit Hilfe (ehemaliger) Mitarbeiter durchgeführt werden.
Moin erikro,
Allgemein sollte man ein Firmennetz immer schützen, auch wenn der Admin im guten gegangen ist oder schlicht auch noch da ist. Das ist sein Job!
Unabhängig davon kann es eine Gefahr sein, gegen die man sich erwehrt, aber die Frage ist hier, ob der ehemalige Admin (welche Konstellation auch immer) denn die höchste Gefahr ist. Ich musste bereits oft genug feststellen, dass die allg. Sicherheitsregeln das eigentliche Problem sind. Darum hat(te) es Emotet auch so vergleichsweise einfach. Stichwort: Sicherheit ist so anstrengend und kompliziert (und, insbesondere zu teuer).
Viele Grüße,
Christian
certifiedit.net
Allgemein sollte man ein Firmennetz immer schützen, auch wenn der Admin im guten gegangen ist oder schlicht auch noch da ist. Das ist sein Job!
Unabhängig davon kann es eine Gefahr sein, gegen die man sich erwehrt, aber die Frage ist hier, ob der ehemalige Admin (welche Konstellation auch immer) denn die höchste Gefahr ist. Ich musste bereits oft genug feststellen, dass die allg. Sicherheitsregeln das eigentliche Problem sind. Darum hat(te) es Emotet auch so vergleichsweise einfach. Stichwort: Sicherheit ist so anstrengend und kompliziert (und, insbesondere zu teuer).
Viele Grüße,
Christian
certifiedit.net
Zitat von @Archeon:
Guten Morgen
Guten Morgen
Zitat von @erikro:
Ja. Zum einen die Tatsache, dass 80% aller Angriffe auf Firmennetze mit Hilfe (ehemaliger) Mitarbeiter durchgeführt werden.
Das finde ich interessant, hast du da eventuell mal eine Quelle dazu?Ja. Zum einen die Tatsache, dass 80% aller Angriffe auf Firmennetze mit Hilfe (ehemaliger) Mitarbeiter durchgeführt werden.
Ich dachte 248,87%.
(Bitte auch Definition von "Angriffen", wenn ein "ich versuche nach ausscheiden noch eine VPN aufzubauen" bereits ein Angriff ist, ok, ansonsten, wohl eher nicht.)
Gestern haben sich 2 IT-Firmen vorgestellt. Angebote kommen heute. Spätestens morgen wird eine dieser Firmen damit beginnen, unsere IT
überprüfen... wie sie das machen, ist alleine deren Sache. Ich bin dann hier nur noch Ansprechpartner im Hause... sonst nix!!
überprüfen... wie sie das machen, ist alleine deren Sache. Ich bin dann hier nur noch Ansprechpartner im Hause... sonst nix!!
Dann hoffen wir, dass die das profund machen und auch wirklich morgen starten können (wurde das so vereinbart?) ;)
Ich schließe mich @erikro an
Was alles so passiert im Rahmen verletzter Eitelkeit,
habe hier schon selbst einiges erlebt.
An den Thema Ersteller :
Ist durch diesen ehemaligen Admin eigentlich auch ein Zugriff auf besonders Schützenswerte Daten erfolgt?
Was alles so passiert im Rahmen verletzter Eitelkeit,
habe hier schon selbst einiges erlebt.
An den Thema Ersteller :
Ist durch diesen ehemaligen Admin eigentlich auch ein Zugriff auf besonders Schützenswerte Daten erfolgt?
Das mag ja evtl. von der Branche abhängen. Aber in so ner kleinen Klitsche macht das doch gar kein Sinn?! MMn. steigern sich die Parteien da gerade gegenseitig hoch. Und die potenziellen Dienstleister hier im Forum schütten noch ein wenig Öl dazu.
Möglich ist wahnsinnig viel. Es ist bloß gleichzeitig unwahrscheinlich weil relativ leicht auf den Verursacher rückführbar. Der Exit aus der Firma wird ja nicht dadurch versüßt, dass die Staatsanwaltschaft die Wohnung des ANs durchsucht.
Möglich ist wahnsinnig viel. Es ist bloß gleichzeitig unwahrscheinlich weil relativ leicht auf den Verursacher rückführbar. Der Exit aus der Firma wird ja nicht dadurch versüßt, dass die Staatsanwaltschaft die Wohnung des ANs durchsucht.
Zitat von @Visucius:
Das mag ja evtl. von der Branche abhängen. Aber in so ner kleinen Klitsche macht das doch gar kein Sinn?! MMn. steigern sich die Parteien da gerade gegenseitig hoch.
Das mag ja evtl. von der Branche abhängen. Aber in so ner kleinen Klitsche macht das doch gar kein Sinn?! MMn. steigern sich die Parteien da gerade gegenseitig hoch.
Naja, die Frage wäre auch ggf. besser in einem anderen Forum aufgehoben.
Und die potenziellen Dienstleister hier im Forum schütten noch ein wenig Öl dazu.
Welche meinst du nun?
Möglich ist wahnsinnig viel. Es ist bloß gleichzeitig unwahrscheinlich weil relativ leicht auf den Verursacher rückführbar. Der Exit aus der Firma wird ja nicht dadurch versüßt, dass die Staatsanwaltschaft die Wohnung des ANs durchsucht.
genau das meine ich eben auch. Die 80% sind übertrieben. Schützen sollte man sich aber natürlich generell. auch 5-6 Arbeitsplätze sind 5-6 abhängige Leben.
Zitat von @37414:
@ All:
Könnte man eigentlich ohne zu viel Aufwand ein komplettes Backup der Emails des MA machen, damit welche davon nicht nachträglich verändert od. gelöscht werden können? Ggf. ist das aber gar nicht nötig, da wir Backups täglich auf Bandlaufwerken machen und Mails laufen über einen Exchangeserver.
LG
imebro
@ All:
Könnte man eigentlich ohne zu viel Aufwand ein komplettes Backup der Emails des MA machen, damit welche davon nicht nachträglich verändert od. gelöscht werden können? Ggf. ist das aber gar nicht nötig, da wir Backups täglich auf Bandlaufwerken machen und Mails laufen über einen Exchangeserver.
LG
imebro
Es kommt auf euere Backup Software an wie leicht oder schwer ihr an die Daten kommt. Veeam erlaubt das wiederherstellen von Mails.
Ausnahmsweise biste mal nicht angesprochen
Ich lese in den Beiträgen nur zwischen den Zeilen die kriminelle Energie, die frustrierten (Ex-)Admins Nachts so durch den Kopf schießt, wenn sie sich mal wieder über ihren doofen Cheffe ärgern. Und die sie jetzt einem unbekannten Dritten unterstellen
Und ja, da ist - systembedingt - wahnsinnig viel Potenzial. Aber es auch durchzuführen und dann auch noch gegen das Unternehmen einzusetzen - ist ein ganz anderer Schnack. Und gleichzeitig zu unterstellen, dass so jemand, so dämlich ist, das über ne Fernwartung zu machen - nachdem er "unter Beobachtung steht", als einziger die Möglichkeiten dazu hat und ggfs. ein externer Profi Zugang erhält um das zu kontrollieren - ist halt ziemlich konstruiert.
VG
Moin,
Die Zahl habe ich mal gelernt. Das ist schon eine Weile her. Auf die Schnelle habe ich diese Quelle gefunden:
https://www.bitkom.org/Presse/Anhaenge-an-PIs/2017/07-Juli/Bitkom-Charts ...
Hier ist von 62% Mitarbeitern und 41% unternehmerisches Umfeld die Rede. Nur 7% der Täter werden der organisierten Kriminalität zugerechnet (Seite 6) bei einer Fehlertoleranz von +/- 3% (Seite 13).
Liebe Grüße
Erik
Zitat von @Archeon:
Guten Morgen
Guten Morgen
Zitat von @erikro:
Ja. Zum einen die Tatsache, dass 80% aller Angriffe auf Firmennetze mit Hilfe (ehemaliger) Mitarbeiter durchgeführt werden.
Das finde ich interessant, hast du da eventuell mal eine Quelle dazu?Ja. Zum einen die Tatsache, dass 80% aller Angriffe auf Firmennetze mit Hilfe (ehemaliger) Mitarbeiter durchgeführt werden.
Die Zahl habe ich mal gelernt. Das ist schon eine Weile her. Auf die Schnelle habe ich diese Quelle gefunden:
https://www.bitkom.org/Presse/Anhaenge-an-PIs/2017/07-Juli/Bitkom-Charts ...
Hier ist von 62% Mitarbeitern und 41% unternehmerisches Umfeld die Rede. Nur 7% der Täter werden der organisierten Kriminalität zugerechnet (Seite 6) bei einer Fehlertoleranz von +/- 3% (Seite 13).
Liebe Grüße
Erik
Zitat von @erikro:
Die Zahl habe ich mal gelernt. Das ist schon eine Weile her. Auf die Schnelle habe ich diese Quelle gefunden:
https://www.bitkom.org/Presse/Anhaenge-an-PIs/2017/07-Juli/Bitkom-Charts ...
Hier ist von 62% Mitarbeitern und 41% unternehmerisches Umfeld die Rede. Nur 7% der Täter werden der organisierten Kriminalität zugerechnet (Seite 6) bei einer Fehlertoleranz von +/- 3% (Seite 13).
Die Zahl habe ich mal gelernt. Das ist schon eine Weile her. Auf die Schnelle habe ich diese Quelle gefunden:
https://www.bitkom.org/Presse/Anhaenge-an-PIs/2017/07-Juli/Bitkom-Charts ...
Hier ist von 62% Mitarbeitern und 41% unternehmerisches Umfeld die Rede. Nur 7% der Täter werden der organisierten Kriminalität zugerechnet (Seite 6) bei einer Fehlertoleranz von +/- 3% (Seite 13).
Danke
Gruß
Moin,
Ich meinte erfolgreiche Angriffe. Wenn ich das auf die Schnelle die aktuelle Quellenlage überblicke, dann sind es wohl "nur noch" 60-70%. Aber immer noch die große Mehrheit der erfolgreichen Angriffe, die aus dem direkten Firmenumfeld kommen.
Im Übrigen gebe ich Dir vollkommen recht, dass da in Deutschland einiges im Argen liegt.
Liebe Grüße
Erik
Zitat von @certifiedit.net:
Ich dachte 248,87%.
(Bitte auch Definition von "Angriffen", wenn ein "ich versuche nach ausscheiden noch eine VPN aufzubauen" bereits ein Angriff ist, ok, ansonsten, wohl eher nicht.)
Ich dachte 248,87%.
(Bitte auch Definition von "Angriffen", wenn ein "ich versuche nach ausscheiden noch eine VPN aufzubauen" bereits ein Angriff ist, ok, ansonsten, wohl eher nicht.)
Ich meinte erfolgreiche Angriffe. Wenn ich das auf die Schnelle die aktuelle Quellenlage überblicke, dann sind es wohl "nur noch" 60-70%. Aber immer noch die große Mehrheit der erfolgreichen Angriffe, die aus dem direkten Firmenumfeld kommen.
Im Übrigen gebe ich Dir vollkommen recht, dass da in Deutschland einiges im Argen liegt.
Liebe Grüße
Erik
Zitat von @37414:
Es gibt noch keinen Dienstleister...
Und wir warten auf dringende Emails.
LG
imebro
Tut mir leid, aber was willst du jetzt hören?Es gibt noch keinen Dienstleister...
Und wir warten auf dringende Emails.
LG
imebro
Keiner kennt deine Umgebung und weiß was wie wo im Argen liegt.
Wenn du denkst du kannst die Verantwortung übernehmen, dann starte ihn neu, ansonsten lass einen Dienstleister, unabhängig von eurer bisherigen Planung, kommen und der soll das begutachten und entscheiden.
Gruß
Moin...
unterschreibe einen Arbeitsauftrag, und gut ist!
sorry, aber wenn die beiden Dienstleister jetzt nicht die Dringlichkeit der sache sehen, rate ich von beiden doch ab!
prüfe mal bitte als erstes ob die Datensicherungen ok sind ( oder lasse Prüfen)
Über die Dienste habe ich auf Anhieb nichts gefunden, was ich neustarten müßte.
tja... ist ja auch nicht dein Job!
wenn deine beiden Dienstleister auf Zack gewesen wären- hätte vor Ort mal eben nach Unterschrift /Arbeitsauftrag das nötigste erledigt werden können.... ich hoffe du sagst jetzt nicht, es war keiner da, das war nur am telefon....
Frank
LG
imebro
Schreib doch die Dienstleister an, dafür hast du die und die haben zumindest einen gewissen Einblick.
das sehe ich auch so....unterschreibe einen Arbeitsauftrag, und gut ist!
sorry, aber wenn die beiden Dienstleister jetzt nicht die Dringlichkeit der sache sehen, rate ich von beiden doch ab!
Zitat von @37414:
...wäre ein Neustart des Exchangeservers denn ein Problem?
ohne deine umgebung zu kennen..... oder zu sehen... lass es sein!...wäre ein Neustart des Exchangeservers denn ein Problem?
prüfe mal bitte als erstes ob die Datensicherungen ok sind ( oder lasse Prüfen)
Wie gesagt, ich hätte die Möglichkeit, ihn einfach neuzustarten.
das soll dein Dienstleister erledigen!Über die Dienste habe ich auf Anhieb nichts gefunden, was ich neustarten müßte.
wenn deine beiden Dienstleister auf Zack gewesen wären- hätte vor Ort mal eben nach Unterschrift /Arbeitsauftrag das nötigste erledigt werden können.... ich hoffe du sagst jetzt nicht, es war keiner da, das war nur am telefon....
Frank
LG
imebro
Hier ist von 62% Mitarbeitern und 41% unternehmerisches Umfeld die Rede. Nur 7% der Täter werden der organisierten Kriminalität zugerechnet (Seite 6) bei einer Fehlertoleranz von +/- 3% (Seite 13).
Problem ist: Dunkelziffer.
Hier zeigt man eben "leichter" den internen Admin an, der gechasst wurde, als dem RussianHacker, dem es viel zu einfach gemacht wurde.
moin....
was habt ihr den für eine Firewall... wird da was gefiltert etc... ????
Ich hätte Zugriff auf den Server, bin aber kein IT-Experte.
wissen wir ja schon
Dienste habe ich schon angeschaut, aber so auf Anhieb nichts außergewöhnliches gefunden.
LG
imebro
Frank
Zitat von @37414:
Guten Morgen,
wir haben einen MS Exchangeserver 2016.
ok... einen Server für alles... oder eine VM = DC... eine VM= Exchange... eine VM= Fileserver etc...Guten Morgen,
wir haben einen MS Exchangeserver 2016.
Leider kommen keine Emails von außen mehr rein.
dann schreibe doch mal wie genau die Mails reinkommen sollten ? SMTP... POPcon etc....?!!?was habt ihr den für eine Firewall... wird da was gefiltert etc... ????
Ich hätte Zugriff auf den Server, bin aber kein IT-Experte.
Kann ich den Server einfach neustarten oder könnte es danach Probleme geben?
wissen wir nicht!Dienste habe ich schon angeschaut, aber so auf Anhieb nichts außergewöhnliches gefunden.
LG
imebro
Frank
Zitat von @37414:
Es gibt noch keinen Dienstleister...
Und wir warten auf dringende Emails.
Zieh die Hauptsicherung, dann wird alles ganz sicher gut und es gibt vieeeel Freizeit .Es gibt noch keinen Dienstleister...
Und wir warten auf dringende Emails.
p.s. Bei euch gehen die Uhren falsch, Freitag ist erst morsche.