watislos
Goto Top

Deaktivierter Administrator (Lokal)

Morgen Zusammen,

der normale OS Client besitzt ja per default immer einen deaktivierten "Administrator", was auch gut so ist!
Im Normalfall legt man ja einen zusätlichen Account an mit Adminrechten damit der native Administrator der mit Erweiterten Rechten ausgestattet ist weiterhin gesperrt bleibt.

Jetzt meine Frage:
Wenn beide Admin-Konten deaktiviert wurden, wie schwer ist es diese über den normalen Benutzer wieder zu aktivieren.

Normalerweise geht es ja nicht?!

Gibt es Fälle die euch bekannt sind wo man den Lokalen-Admin wieder aktivieren konnte obwohl er deaktiviert wurde?!

Content-ID: 4982611255

Url: https://administrator.de/forum/deaktivierter-administrator-lokal-4982611255.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

lcer00
lcer00 16.12.2022 aktualisiert um 09:58:06 Uhr
Goto Top
Hallo,
Zitat von @watIsLos:

Morgen Zusammen,

der normale OS Client besitzt ja per default immer einen deaktivierten "Administrator", was auch gut so ist!
Man kann den eingebauten Administrator auch per GPO umbenennen. https://learn.microsoft.com/de-de/troubleshoot/windows-server/windows-se ...
Im Normalfall legt man ja einen zusätlichen Account an mit Adminrechten damit der native Administrator der mit Erweiterten Rechten ausgestattet ist weiterhin gesperrt bleibt.
Wo erhoffst Du Dir einen relevantenUnterschied dem BuiltIn-Administrator und einem Mitglied der Gruppe Lokale Administratoren?
Jetzt meine Frage:
Wenn beide Admin-Konten deaktiviert wurden, wie schwer ist es diese über den normalen Benutzer wieder zu aktivieren.
Normalerweise geht es ja nicht.
Geht nicht ....
Gibt es Fälle die euch bekannt sind wo man den Lokalen-Admin wieder aktivieren konnte obwohl er deaktiviert wurde?!
... ausser bösen Menschen benutzen Sicherheitslücken oder verschaffen sich Zugang zum (unverschlüsselten) Rechner.

Grüße

lcer
Xaero1982
Xaero1982 16.12.2022 um 09:57:52 Uhr
Goto Top
Moin,
du kannst als normaler Nutzer unter Windows kein Adminkonto aktivieren.

Ja, es gibt Mittel und Wege die hier nicht besprochen werden. Da ist google dein Freund.

Grüße
RookieBoy
RookieBoy 16.12.2022 um 10:18:39 Uhr
Goto Top
Du kannst auf YouTube folgendes suchen:

windows 10 utilman.exe cmd.exe

Viel Erfolg.
kpunkt
kpunkt 16.12.2022 um 10:22:20 Uhr
Goto Top
Das geht (noch immer) ziemlich einfach. Brauchts halt zwingend physischen Zugriff.
Aber dann: neuen Admin anlegen und gewünschte vorhandene Admins wieder aktivieren oder was man halt will.
lcer00
lcer00 16.12.2022 um 10:23:31 Uhr
Goto Top
Ach ja, wenn ich die anderen Threads des TOs lese geht es im nicht um den Einbruch, sondern um mögliche Abwehrmaßnahmen. Das wäre zum Beispiel: Bitlocker aktivieren.

Grüße

lcer
watIsLos
watIsLos 16.12.2022 um 10:24:54 Uhr
Goto Top
Ja, natürlich geht es über den Weg, wenn der jenige direkt am PC ist.
Ich meinte das eher von außen.

Zitat von @RookieBoy:

Du kannst auf YouTube folgendes suchen:

windows 10 utilman.exe cmd.exe

Viel Erfolg.
watIsLos
watIsLos 16.12.2022 aktualisiert um 10:27:02 Uhr
Goto Top
Zitat von @lcer00:

Danke für den Link!
Danach habe ich zwar nicht gefragt trotzdem eine Gute Idee, werde ich auf jeden Fall umsetzen!
141986
141986 16.12.2022 aktualisiert um 10:34:52 Uhr
Goto Top
Moin,

Normalerweise geht es ja nicht?!
was ist schon normal?

Wenn beide Admin-Konten deaktiviert wurden, wie schwer ist es diese über den normalen Benutzer wieder zu aktivieren.
Die Frage hat ja sicherlich einen bösartigen Hintergrund, also antworte ich auch "mit Hintergrund":
Aktivieren erst einmal nicht, man könnte sich aber bei physischem Zugriff auf die Gurke einfach einen neuen administrativen User erstellen, der anschließend die anderen Admins aktivieren kann.
Wie? Werde und darf ich hier nicht erläutern.

Also: machbar ist das durchaus ..

VG

Edita:
Ups, den Post von @Xaero1982 gar nicht wahrgenommen, pardon!
watIsLos
watIsLos 16.12.2022 um 10:33:46 Uhr
Goto Top
Zitat von @Xaero1982:

Moin,
du kannst als normaler Nutzer unter Windows kein Adminkonto aktivieren.

Ja, es gibt Mittel und Wege die hier nicht besprochen werden. Da ist google dein Freund.

Grüße

Ja, das habe ich mir schon gedacht das über irgendwelche Tools, oder Exploits etc. dieser deaktivierter Zustand doch noch ausgehebelt werden kann, wäre ja auch zu schön...
141986
141986 16.12.2022 um 10:35:39 Uhr
Goto Top
irgendwelche Tools
geht mit Hausmittelchen die Microsoft direkt mitliefert.

Grüße
TomTomBon
TomTomBon 16.12.2022 um 10:37:16 Uhr
Goto Top
Hmm
DeFakto geht es mit Boardmitteln, ohne zusätzliche Hard (CD oder USB Stick) oder Software, ALLE Accounts zu bearbeiten.
Man muss nur wissen wie.
Und dazu hilft Google.
Es stand/steht auch in vielen Computerzeitschriften. Man muss also nicht in die dunklen Bereiche face-wink

Das einzige was dagegen wirkt:
Verschlüsselung.
watIsLos
watIsLos 16.12.2022 um 10:37:22 Uhr
Goto Top
Zitat von @141986:

irgendwelche Tools
geht mit Hausmittelchen die Microsoft direkt mitliefert.

Grüße

von Außen?
das es physisch geht, wissen wir ja.
141986
141986 16.12.2022 um 10:38:09 Uhr
Goto Top
von Außen?
unter ganz gewissen Umständen, würde auch das klappen.

Grüße
watIsLos
watIsLos 16.12.2022 um 10:38:16 Uhr
Goto Top
Zitat von @TomTomBon:

Hmm
DeFakto geht es mit Boardmitteln, ohne zusätzliche Hard (CD oder USB Stick) oder Software, ALLE Accounts zu bearbeiten.
Man muss nur wissen wie.
Und dazu hilft Google.
Es stand/steht auch in vielen Computerzeitschriften. Man muss also nicht in die dunklen Bereiche face-wink

Das einzige was dagegen wirkt:
Verschlüsselung.

Der Rechner ist mit Bitlocker verschlüsselt.
kpunkt
kpunkt 16.12.2022 aktualisiert um 10:42:57 Uhr
Goto Top
Naja....Exploits und so....es ist fast immer egal, wie man etwas schützt (außer Loctite und Heißkleber sind im Spiel...) wenn man physischen Zugriff drauf hat.

Aber mal ganz konkret:
Gehts dir jetzt darum wie man sich Zugang zum Rechner verschafft oder eher darum, wie du deine Daten schützen kannst?
Ersteres geht relativ leicht, letzteres auch, wenn man die Daten eben verschlüsselt. Obwohl man quasi Zugriff auf die Daten hat kann man dennoch nix damit anfangen. Zumindest wenn die Verschlüsselung passt.

k.
DerWoWusste
DerWoWusste 16.12.2022 um 10:41:10 Uhr
Goto Top
Es geht also um Abwehr.

Wenn Du die Platte verschlüsselst, kannst Du Offlineangriffe, die sich ja über jegliche Rechtestrukturen, die im laufenden Windows greifen, hinwegsetzen, abwehren - gesetz dem Fall, dass der schwache Nutzer, der den Rechner ja weiterhin starten können soll, einen Verschlüsselungsschlüssel bekommt, der eben nur starten kann und nicht etwa entschlüsseln oder gar von fremden Betriebssystemen aus offline mounten.

Bitlocker setzt dies mit der PIN um - Nutzer können mit der PIN nur starten, nicht aber entschlüsseln oder offline manipulieren. Nur der Admin hat das Recoverypasswort, mit dem er bei Bedarf manipulieren kann um z.B. gesperrte Admins zu entsperren. Andere Verschlüsselungen denken zum Teil nicht einmal soweit bzw. erachten diese Funktion als unwichtig, denn Nutzern trauen wir ja zu 100% und Backups haben wir eh.

Ist die Platte unverschlüsselt, ist so eine Reaktivierung offline eine Sache von 2 Minuten.
watIsLos
watIsLos 16.12.2022 aktualisiert um 10:49:03 Uhr
Goto Top
Zitat von @DerWoWusste:

Es geht also um Abwehr.

Wenn Du die Platte verschlüsselst, kannst Du Offlineangriffe, die sich ja über jegliche Rechtestrukturen, die im laufenden Windows greifen, hinwegsetzen, abwehren - gesetz dem Fall, dass der schwache Nutzer, der den Rechner ja weiterhin starten können soll, einen Verschlüsselungsschlüssel bekommt, der eben nur starten kann und nicht etwa entschlüsseln oder gar von fremden Betriebssystemen aus offline mounten.

Bitlocker setzt dies mit der PIN um - Nutzer können mit der PIN nur starten, nicht aber entschlüsseln oder offline manipulieren. Nur der Admin hat das Recoverypasswort, mit dem er bei Bedarf manipulieren kann um z.B. gesperrte Admins zu entsperren. Andere Verschlüsselungen denken zum Teil nicht einmal soweit bzw. erachten diese Funktion als unwichtig, denn Nutzern trauen wir ja zu 100% und Backups haben wir eh.

Ist die Platte unverschlüsselt, ist so eine Reaktivierung offline eine Sache von 2 Minuten.

Genau es geht um Abwehr!

Deswegen habe ich auf allen Clients Bitlocker aktiviert, die User haben nicht nur ein PW für den OS-Start bekommen, also für Bitlocker, sondern auch ein PW für die normale Windows Anmeldung. Damit wäre ja wie Du auch schon geschrieben hast der Physische Angriff abgewehrt, so lange der Angreifer das Bitlocker Passwort nicht kennt.

Gegen ein Angriff von außen, sagen wir mal der User klickt auf einen Link, die Firewall und die AV springt darauf nicht an bzw. erkennt den Angriff nicht als solches dagegen hilft ja Bitlocker nicht, da die Platte ja vorher schon entschlüsselt wurde.
lcer00
lcer00 16.12.2022 um 10:58:05 Uhr
Goto Top
Hallo,
Zitat von @watIsLos:
Deswegen habe ich auf allen Clients Bitlocker aktiviert, die User haben nicht nur ein PW für den OS-Start bekommen, also für Bitlocker, sondern auch ein PW für die normale Windows Anmeldung. Damit wäre ja wie Du auch schon geschrieben hast der Physische Angriff abgewehrt, so lange der Angreifer das Bitlicker Passwort nicht kennt.

Gegen ein Angriff von außen, sagen wir mal der User klickt auf einen Link, die Firewall und die AV springt darauf nicht an bzw. erkennt den Angriff nicht als solches dagegen hilft ja Bitlocker nicht, da die Platte ja vorher schon entschlüsselt wurde.

Genau. Gegen einen Online-Angriff zum Aktivieren der Konten bzw. zum Erlangen von Lokalen Admin Rechten kannst Du Dich im Grunde nicht spezifisch schützen. Da gelten die allgemeinen Regeln (Updates einspielen, ggf. AV-Software, Rechte nur entsprechend der tatsächlichen Nutzung vergeben etc.)

Grüße

lcer
Doskias
Doskias 16.12.2022 um 11:54:51 Uhr
Goto Top
Moin,

Zitat von @watIsLos:
Gegen ein Angriff von außen, sagen wir mal der User klickt auf einen Link, die Firewall und die AV springt darauf nicht an bzw. erkennt den Angriff nicht als solches dagegen hilft ja Bitlocker nicht, da die Platte ja vorher schon entschlüsselt wurde.
Gegen Angriffe von außen schützt dich eine Firewall im Whitelist-Modus. Wenn der Link erst gar nicht geöffnet werden kann, braucht der Virenscanner nicht aktiv werden. face-wink

Gruß
Doskias
DerWoWusste
DerWoWusste 16.12.2022 um 12:06:45 Uhr
Goto Top
Deswegen habe ich auf allen Clients Bitlocker aktiviert, die User haben nicht nur ein PW für den OS-Start bekommen...
Ein Passwort? Das wäre schlecht. Denn damit kann man solche Angriffe fahren als normaler Nutzer. Du müsstest Ihnen eine PIN geben, die den TPM aufschließt und das Passwort zuvor wieder entfernen.
watIsLos
watIsLos 17.12.2022 um 09:38:16 Uhr
Goto Top
Also der User hat vor dem Start seine 14 Stelliges Bitlocker-Passwort und danach kommt noch das Windows Passwort.

Was ich nicht verstehe, wieso sollte es statt einem langen Passwort lieber ein Bitlocker-PIN sein den man eingeben muss?

oder haben wir uns hier Missverstanden?!
lcer00
lcer00 17.12.2022 um 11:21:34 Uhr
Goto Top
Hallo,

Mit dem Passwort kann man die Festplatte entschlüsseln - auch die ausgebaute. Mit der PIN entsperrt man das TPM. Das geht also nur, wenn TPM+Festplatte im korrekten PC stecken.

Grüße

lcer
watIsLos
watIsLos 17.12.2022 um 12:15:46 Uhr
Goto Top
Das man mit TPM einen besseren Schutz hat wusste ich auch, man kann es auch ohne TPM laufenlassen, ist dann eben nur verschlüsselt.

So wie ich gelesen habe wird doch der TPM PIN vor dem Start automatisch geprüft und danach erfolgt das Reguläre Passwort über den Benutzer der dann die Festplatte entschlüsselt?!
dertowa
dertowa 17.12.2022 um 12:38:24 Uhr
Goto Top
Zitat von @kpunkt:

Das geht (noch immer) ziemlich einfach. Brauchts halt zwingend physischen Zugriff.

Nicht, wenn man ein Microsoftkonto am System nutzt. face-smile

Grüße
DerWoWusste
DerWoWusste 17.12.2022 um 15:13:16 Uhr
Goto Top
Was ich nicht verstehe, wieso sollte es statt einem langen Passwort lieber ein Bitlocker-PIN sein den man eingeben muss?
Du hast extra eine Policy modifiziert, sonst wäre das mit dem Passwort gar nicht erlaubt. Aber zu dem Zeitpukt hast Du dir wohl keine Gedanken darüber gemacht, warum Microsoft das nicht per Default erlaubt. Wie schon gesagt: mit dem Passwort kannst Du entschlüsseln und manipulieren, mit der PIN nicht.
So wie ich gelesen habe wird doch der TPM PIN vor dem Start automatisch geprüft
Nein, die PIN wird abgefragt, wie das Kennwort. Die richtige PIN erlaubt das Abrufen des Verschlüsselungsschlüssels aus dem TPM.

Per Default ist gar keine PIN zu setzen, das meinst Du wohl. Man muss auch dies erst per Policy fordern: https://www.howtogeek.com/262720/how-to-enable-a-pre-boot-bitlocker-pin- ...
watIsLos
watIsLos 17.12.2022 um 16:53:59 Uhr
Goto Top
Ja, hast Recht das wurde von mir modifiziert, aber damit nutze ich ja nur den Vorteil mit der Verschlüsselung und nicht noch zusätzlich die TPM Funktion.

Das werde ich auf jeden Fall nochmal anpassen müssen, will nämlich beides nutzen, hat ja sein Sinn!

Auf der Seite wird es eigentlich ganz gut beschrieben wieso man beides aktivieren sollte.

https://learn.microsoft.com/de-de/windows/security/identity-protection/h ...


Zitat von @DerWoWusste:
Saftnase
Saftnase 19.12.2022 um 09:21:28 Uhr
Goto Top
Google sagt dir auch wo du 30L Epoxidharz bekommst, damit schaffst du den nahezu perfekten Schutz gegen physischen Zugriff und wenn du Tastatur und Maus auch mit behandelts sinkt auch das UserRisiko.
watIsLos
watIsLos 19.12.2022 um 09:34:11 Uhr
Goto Top
Interessant, höre ich zum ersten mal von Epoxidharz :D
Ich denke aber das wir das hier erstmal nicht benötigen, trotzdem danke für diesen Tipp.