Deaktivierter Administrator (Lokal)
Morgen Zusammen,
der normale OS Client besitzt ja per default immer einen deaktivierten "Administrator", was auch gut so ist!
Im Normalfall legt man ja einen zusätlichen Account an mit Adminrechten damit der native Administrator der mit Erweiterten Rechten ausgestattet ist weiterhin gesperrt bleibt.
Jetzt meine Frage:
Wenn beide Admin-Konten deaktiviert wurden, wie schwer ist es diese über den normalen Benutzer wieder zu aktivieren.
Normalerweise geht es ja nicht?!
Gibt es Fälle die euch bekannt sind wo man den Lokalen-Admin wieder aktivieren konnte obwohl er deaktiviert wurde?!
der normale OS Client besitzt ja per default immer einen deaktivierten "Administrator", was auch gut so ist!
Im Normalfall legt man ja einen zusätlichen Account an mit Adminrechten damit der native Administrator der mit Erweiterten Rechten ausgestattet ist weiterhin gesperrt bleibt.
Jetzt meine Frage:
Wenn beide Admin-Konten deaktiviert wurden, wie schwer ist es diese über den normalen Benutzer wieder zu aktivieren.
Normalerweise geht es ja nicht?!
Gibt es Fälle die euch bekannt sind wo man den Lokalen-Admin wieder aktivieren konnte obwohl er deaktiviert wurde?!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4982611255
Url: https://administrator.de/forum/deaktivierter-administrator-lokal-4982611255.html
Ausgedruckt am: 23.12.2024 um 17:12 Uhr
28 Kommentare
Neuester Kommentar
Hallo,
Grüße
lcer
Zitat von @watIsLos:
Morgen Zusammen,
der normale OS Client besitzt ja per default immer einen deaktivierten "Administrator", was auch gut so ist!
Man kann den eingebauten Administrator auch per GPO umbenennen. https://learn.microsoft.com/de-de/troubleshoot/windows-server/windows-se ...Morgen Zusammen,
der normale OS Client besitzt ja per default immer einen deaktivierten "Administrator", was auch gut so ist!
Im Normalfall legt man ja einen zusätlichen Account an mit Adminrechten damit der native Administrator der mit Erweiterten Rechten ausgestattet ist weiterhin gesperrt bleibt.
Wo erhoffst Du Dir einen relevantenUnterschied dem BuiltIn-Administrator und einem Mitglied der Gruppe Lokale Administratoren?Jetzt meine Frage:
Wenn beide Admin-Konten deaktiviert wurden, wie schwer ist es diese über den normalen Benutzer wieder zu aktivieren.
Normalerweise geht es ja nicht.
Geht nicht ....Wenn beide Admin-Konten deaktiviert wurden, wie schwer ist es diese über den normalen Benutzer wieder zu aktivieren.
Normalerweise geht es ja nicht.
Gibt es Fälle die euch bekannt sind wo man den Lokalen-Admin wieder aktivieren konnte obwohl er deaktiviert wurde?!
... ausser bösen Menschen benutzen Sicherheitslücken oder verschaffen sich Zugang zum (unverschlüsselten) Rechner.Grüße
lcer
Moin,
Aktivieren erst einmal nicht, man könnte sich aber bei physischem Zugriff auf die Gurke einfach einen neuen administrativen User erstellen, der anschließend die anderen Admins aktivieren kann.
Wie? Werde und darf ich hier nicht erläutern.
Also: machbar ist das durchaus ..
VG
Edita:
Ups, den Post von @Xaero1982 gar nicht wahrgenommen, pardon!
Normalerweise geht es ja nicht?!
was ist schon normal?Wenn beide Admin-Konten deaktiviert wurden, wie schwer ist es diese über den normalen Benutzer wieder zu aktivieren.
Die Frage hat ja sicherlich einen bösartigen Hintergrund, also antworte ich auch "mit Hintergrund":Aktivieren erst einmal nicht, man könnte sich aber bei physischem Zugriff auf die Gurke einfach einen neuen administrativen User erstellen, der anschließend die anderen Admins aktivieren kann.
Wie? Werde und darf ich hier nicht erläutern.
Also: machbar ist das durchaus ..
VG
Edita:
Ups, den Post von @Xaero1982 gar nicht wahrgenommen, pardon!
irgendwelche Tools
geht mit Hausmittelchen die Microsoft direkt mitliefert.Grüße
Hmm
DeFakto geht es mit Boardmitteln, ohne zusätzliche Hard (CD oder USB Stick) oder Software, ALLE Accounts zu bearbeiten.
Man muss nur wissen wie.
Und dazu hilft Google.
Es stand/steht auch in vielen Computerzeitschriften. Man muss also nicht in die dunklen Bereiche
Das einzige was dagegen wirkt:
Verschlüsselung.
DeFakto geht es mit Boardmitteln, ohne zusätzliche Hard (CD oder USB Stick) oder Software, ALLE Accounts zu bearbeiten.
Man muss nur wissen wie.
Und dazu hilft Google.
Es stand/steht auch in vielen Computerzeitschriften. Man muss also nicht in die dunklen Bereiche
Das einzige was dagegen wirkt:
Verschlüsselung.
von Außen?
unter ganz gewissen Umständen, würde auch das klappen.Grüße
Naja....Exploits und so....es ist fast immer egal, wie man etwas schützt (außer Loctite und Heißkleber sind im Spiel...) wenn man physischen Zugriff drauf hat.
Aber mal ganz konkret:
Gehts dir jetzt darum wie man sich Zugang zum Rechner verschafft oder eher darum, wie du deine Daten schützen kannst?
Ersteres geht relativ leicht, letzteres auch, wenn man die Daten eben verschlüsselt. Obwohl man quasi Zugriff auf die Daten hat kann man dennoch nix damit anfangen. Zumindest wenn die Verschlüsselung passt.
k.
Aber mal ganz konkret:
Gehts dir jetzt darum wie man sich Zugang zum Rechner verschafft oder eher darum, wie du deine Daten schützen kannst?
Ersteres geht relativ leicht, letzteres auch, wenn man die Daten eben verschlüsselt. Obwohl man quasi Zugriff auf die Daten hat kann man dennoch nix damit anfangen. Zumindest wenn die Verschlüsselung passt.
k.
Es geht also um Abwehr.
Wenn Du die Platte verschlüsselst, kannst Du Offlineangriffe, die sich ja über jegliche Rechtestrukturen, die im laufenden Windows greifen, hinwegsetzen, abwehren - gesetz dem Fall, dass der schwache Nutzer, der den Rechner ja weiterhin starten können soll, einen Verschlüsselungsschlüssel bekommt, der eben nur starten kann und nicht etwa entschlüsseln oder gar von fremden Betriebssystemen aus offline mounten.
Bitlocker setzt dies mit der PIN um - Nutzer können mit der PIN nur starten, nicht aber entschlüsseln oder offline manipulieren. Nur der Admin hat das Recoverypasswort, mit dem er bei Bedarf manipulieren kann um z.B. gesperrte Admins zu entsperren. Andere Verschlüsselungen denken zum Teil nicht einmal soweit bzw. erachten diese Funktion als unwichtig, denn Nutzern trauen wir ja zu 100% und Backups haben wir eh.
Ist die Platte unverschlüsselt, ist so eine Reaktivierung offline eine Sache von 2 Minuten.
Wenn Du die Platte verschlüsselst, kannst Du Offlineangriffe, die sich ja über jegliche Rechtestrukturen, die im laufenden Windows greifen, hinwegsetzen, abwehren - gesetz dem Fall, dass der schwache Nutzer, der den Rechner ja weiterhin starten können soll, einen Verschlüsselungsschlüssel bekommt, der eben nur starten kann und nicht etwa entschlüsseln oder gar von fremden Betriebssystemen aus offline mounten.
Bitlocker setzt dies mit der PIN um - Nutzer können mit der PIN nur starten, nicht aber entschlüsseln oder offline manipulieren. Nur der Admin hat das Recoverypasswort, mit dem er bei Bedarf manipulieren kann um z.B. gesperrte Admins zu entsperren. Andere Verschlüsselungen denken zum Teil nicht einmal soweit bzw. erachten diese Funktion als unwichtig, denn Nutzern trauen wir ja zu 100% und Backups haben wir eh.
Ist die Platte unverschlüsselt, ist so eine Reaktivierung offline eine Sache von 2 Minuten.
Hallo,
Genau. Gegen einen Online-Angriff zum Aktivieren der Konten bzw. zum Erlangen von Lokalen Admin Rechten kannst Du Dich im Grunde nicht spezifisch schützen. Da gelten die allgemeinen Regeln (Updates einspielen, ggf. AV-Software, Rechte nur entsprechend der tatsächlichen Nutzung vergeben etc.)
Grüße
lcer
Zitat von @watIsLos:
Deswegen habe ich auf allen Clients Bitlocker aktiviert, die User haben nicht nur ein PW für den OS-Start bekommen, also für Bitlocker, sondern auch ein PW für die normale Windows Anmeldung. Damit wäre ja wie Du auch schon geschrieben hast der Physische Angriff abgewehrt, so lange der Angreifer das Bitlicker Passwort nicht kennt.
Gegen ein Angriff von außen, sagen wir mal der User klickt auf einen Link, die Firewall und die AV springt darauf nicht an bzw. erkennt den Angriff nicht als solches dagegen hilft ja Bitlocker nicht, da die Platte ja vorher schon entschlüsselt wurde.
Deswegen habe ich auf allen Clients Bitlocker aktiviert, die User haben nicht nur ein PW für den OS-Start bekommen, also für Bitlocker, sondern auch ein PW für die normale Windows Anmeldung. Damit wäre ja wie Du auch schon geschrieben hast der Physische Angriff abgewehrt, so lange der Angreifer das Bitlicker Passwort nicht kennt.
Gegen ein Angriff von außen, sagen wir mal der User klickt auf einen Link, die Firewall und die AV springt darauf nicht an bzw. erkennt den Angriff nicht als solches dagegen hilft ja Bitlocker nicht, da die Platte ja vorher schon entschlüsselt wurde.
Genau. Gegen einen Online-Angriff zum Aktivieren der Konten bzw. zum Erlangen von Lokalen Admin Rechten kannst Du Dich im Grunde nicht spezifisch schützen. Da gelten die allgemeinen Regeln (Updates einspielen, ggf. AV-Software, Rechte nur entsprechend der tatsächlichen Nutzung vergeben etc.)
Grüße
lcer
Moin,
Gruß
Doskias
Zitat von @watIsLos:
Gegen ein Angriff von außen, sagen wir mal der User klickt auf einen Link, die Firewall und die AV springt darauf nicht an bzw. erkennt den Angriff nicht als solches dagegen hilft ja Bitlocker nicht, da die Platte ja vorher schon entschlüsselt wurde.
Gegen Angriffe von außen schützt dich eine Firewall im Whitelist-Modus. Wenn der Link erst gar nicht geöffnet werden kann, braucht der Virenscanner nicht aktiv werden. Gegen ein Angriff von außen, sagen wir mal der User klickt auf einen Link, die Firewall und die AV springt darauf nicht an bzw. erkennt den Angriff nicht als solches dagegen hilft ja Bitlocker nicht, da die Platte ja vorher schon entschlüsselt wurde.
Gruß
Doskias
Deswegen habe ich auf allen Clients Bitlocker aktiviert, die User haben nicht nur ein PW für den OS-Start bekommen...
Ein Passwort? Das wäre schlecht. Denn damit kann man solche Angriffe fahren als normaler Nutzer. Du müsstest Ihnen eine PIN geben, die den TPM aufschließt und das Passwort zuvor wieder entfernen.Zitat von @kpunkt:
Das geht (noch immer) ziemlich einfach. Brauchts halt zwingend physischen Zugriff.
Das geht (noch immer) ziemlich einfach. Brauchts halt zwingend physischen Zugriff.
Nicht, wenn man ein Microsoftkonto am System nutzt.
Grüße
Was ich nicht verstehe, wieso sollte es statt einem langen Passwort lieber ein Bitlocker-PIN sein den man eingeben muss?
Du hast extra eine Policy modifiziert, sonst wäre das mit dem Passwort gar nicht erlaubt. Aber zu dem Zeitpukt hast Du dir wohl keine Gedanken darüber gemacht, warum Microsoft das nicht per Default erlaubt. Wie schon gesagt: mit dem Passwort kannst Du entschlüsseln und manipulieren, mit der PIN nicht.So wie ich gelesen habe wird doch der TPM PIN vor dem Start automatisch geprüft
Nein, die PIN wird abgefragt, wie das Kennwort. Die richtige PIN erlaubt das Abrufen des Verschlüsselungsschlüssels aus dem TPM.Per Default ist gar keine PIN zu setzen, das meinst Du wohl. Man muss auch dies erst per Policy fordern: https://www.howtogeek.com/262720/how-to-enable-a-pre-boot-bitlocker-pin- ...