watislos
Goto Top

Deaktivierter Administrator (Lokal)

Morgen Zusammen,

der normale OS Client besitzt ja per default immer einen deaktivierten "Administrator", was auch gut so ist!
Im Normalfall legt man ja einen zusätlichen Account an mit Adminrechten damit der native Administrator der mit Erweiterten Rechten ausgestattet ist weiterhin gesperrt bleibt.

Jetzt meine Frage:
Wenn beide Admin-Konten deaktiviert wurden, wie schwer ist es diese über den normalen Benutzer wieder zu aktivieren.

Normalerweise geht es ja nicht?!

Gibt es Fälle die euch bekannt sind wo man den Lokalen-Admin wieder aktivieren konnte obwohl er deaktiviert wurde?!

Content-Key: 4982611255

Url: https://administrator.de/contentid/4982611255

Printed on: July 22, 2024 at 22:07 o'clock

Member: lcer00
lcer00 Dec 16, 2022 updated at 08:58:06 (UTC)
Goto Top
Hallo,
Zitat von @watIsLos:

Morgen Zusammen,

der normale OS Client besitzt ja per default immer einen deaktivierten "Administrator", was auch gut so ist!
Man kann den eingebauten Administrator auch per GPO umbenennen. https://learn.microsoft.com/de-de/troubleshoot/windows-server/windows-se ...
Im Normalfall legt man ja einen zusätlichen Account an mit Adminrechten damit der native Administrator der mit Erweiterten Rechten ausgestattet ist weiterhin gesperrt bleibt.
Wo erhoffst Du Dir einen relevantenUnterschied dem BuiltIn-Administrator und einem Mitglied der Gruppe Lokale Administratoren?
Jetzt meine Frage:
Wenn beide Admin-Konten deaktiviert wurden, wie schwer ist es diese über den normalen Benutzer wieder zu aktivieren.
Normalerweise geht es ja nicht.
Geht nicht ....
Gibt es Fälle die euch bekannt sind wo man den Lokalen-Admin wieder aktivieren konnte obwohl er deaktiviert wurde?!
... ausser bösen Menschen benutzen Sicherheitslücken oder verschaffen sich Zugang zum (unverschlüsselten) Rechner.

Grüße

lcer
Member: Xaero1982
Xaero1982 Dec 16, 2022 at 08:57:52 (UTC)
Goto Top
Moin,
du kannst als normaler Nutzer unter Windows kein Adminkonto aktivieren.

Ja, es gibt Mittel und Wege die hier nicht besprochen werden. Da ist google dein Freund.

Grüße
Member: RookieBoy
RookieBoy Dec 16, 2022 at 09:18:39 (UTC)
Goto Top
Du kannst auf YouTube folgendes suchen:

windows 10 utilman.exe cmd.exe

Viel Erfolg.
Member: kpunkt
kpunkt Dec 16, 2022 at 09:22:20 (UTC)
Goto Top
Das geht (noch immer) ziemlich einfach. Brauchts halt zwingend physischen Zugriff.
Aber dann: neuen Admin anlegen und gewünschte vorhandene Admins wieder aktivieren oder was man halt will.
Member: lcer00
lcer00 Dec 16, 2022 at 09:23:31 (UTC)
Goto Top
Ach ja, wenn ich die anderen Threads des TOs lese geht es im nicht um den Einbruch, sondern um mögliche Abwehrmaßnahmen. Das wäre zum Beispiel: Bitlocker aktivieren.

Grüße

lcer
Member: watIsLos
watIsLos Dec 16, 2022 at 09:24:54 (UTC)
Goto Top
Ja, natürlich geht es über den Weg, wenn der jenige direkt am PC ist.
Ich meinte das eher von außen.

Zitat von @RookieBoy:

Du kannst auf YouTube folgendes suchen:

windows 10 utilman.exe cmd.exe

Viel Erfolg.
Member: watIsLos
watIsLos Dec 16, 2022 updated at 09:27:02 (UTC)
Goto Top
Zitat von @lcer00:

Danke für den Link!
Danach habe ich zwar nicht gefragt trotzdem eine Gute Idee, werde ich auf jeden Fall umsetzen!
Mitglied: 141986
141986 Dec 16, 2022 updated at 09:34:52 (UTC)
Goto Top
Moin,

Normalerweise geht es ja nicht?!
was ist schon normal?

Wenn beide Admin-Konten deaktiviert wurden, wie schwer ist es diese über den normalen Benutzer wieder zu aktivieren.
Die Frage hat ja sicherlich einen bösartigen Hintergrund, also antworte ich auch "mit Hintergrund":
Aktivieren erst einmal nicht, man könnte sich aber bei physischem Zugriff auf die Gurke einfach einen neuen administrativen User erstellen, der anschließend die anderen Admins aktivieren kann.
Wie? Werde und darf ich hier nicht erläutern.

Also: machbar ist das durchaus ..

VG

Edita:
Ups, den Post von @Xaero1982 gar nicht wahrgenommen, pardon!
Member: watIsLos
watIsLos Dec 16, 2022 at 09:33:46 (UTC)
Goto Top
Zitat von @Xaero1982:

Moin,
du kannst als normaler Nutzer unter Windows kein Adminkonto aktivieren.

Ja, es gibt Mittel und Wege die hier nicht besprochen werden. Da ist google dein Freund.

Grüße

Ja, das habe ich mir schon gedacht das über irgendwelche Tools, oder Exploits etc. dieser deaktivierter Zustand doch noch ausgehebelt werden kann, wäre ja auch zu schön...
Mitglied: 141986
141986 Dec 16, 2022 at 09:35:39 (UTC)
Goto Top
irgendwelche Tools
geht mit Hausmittelchen die Microsoft direkt mitliefert.

Grüße
Member: TomTomBon
TomTomBon Dec 16, 2022 at 09:37:16 (UTC)
Goto Top
Hmm
DeFakto geht es mit Boardmitteln, ohne zusätzliche Hard (CD oder USB Stick) oder Software, ALLE Accounts zu bearbeiten.
Man muss nur wissen wie.
Und dazu hilft Google.
Es stand/steht auch in vielen Computerzeitschriften. Man muss also nicht in die dunklen Bereiche face-wink

Das einzige was dagegen wirkt:
Verschlüsselung.
Member: watIsLos
watIsLos Dec 16, 2022 at 09:37:22 (UTC)
Goto Top
Zitat von @141986:

irgendwelche Tools
geht mit Hausmittelchen die Microsoft direkt mitliefert.

Grüße

von Außen?
das es physisch geht, wissen wir ja.
Mitglied: 141986
141986 Dec 16, 2022 at 09:38:09 (UTC)
Goto Top
von Außen?
unter ganz gewissen Umständen, würde auch das klappen.

Grüße
Member: watIsLos
watIsLos Dec 16, 2022 at 09:38:16 (UTC)
Goto Top
Zitat von @TomTomBon:

Hmm
DeFakto geht es mit Boardmitteln, ohne zusätzliche Hard (CD oder USB Stick) oder Software, ALLE Accounts zu bearbeiten.
Man muss nur wissen wie.
Und dazu hilft Google.
Es stand/steht auch in vielen Computerzeitschriften. Man muss also nicht in die dunklen Bereiche face-wink

Das einzige was dagegen wirkt:
Verschlüsselung.

Der Rechner ist mit Bitlocker verschlüsselt.
Member: kpunkt
kpunkt Dec 16, 2022 updated at 09:42:57 (UTC)
Goto Top
Naja....Exploits und so....es ist fast immer egal, wie man etwas schützt (außer Loctite und Heißkleber sind im Spiel...) wenn man physischen Zugriff drauf hat.

Aber mal ganz konkret:
Gehts dir jetzt darum wie man sich Zugang zum Rechner verschafft oder eher darum, wie du deine Daten schützen kannst?
Ersteres geht relativ leicht, letzteres auch, wenn man die Daten eben verschlüsselt. Obwohl man quasi Zugriff auf die Daten hat kann man dennoch nix damit anfangen. Zumindest wenn die Verschlüsselung passt.

k.
Member: DerWoWusste
DerWoWusste Dec 16, 2022 at 09:41:10 (UTC)
Goto Top
Es geht also um Abwehr.

Wenn Du die Platte verschlüsselst, kannst Du Offlineangriffe, die sich ja über jegliche Rechtestrukturen, die im laufenden Windows greifen, hinwegsetzen, abwehren - gesetz dem Fall, dass der schwache Nutzer, der den Rechner ja weiterhin starten können soll, einen Verschlüsselungsschlüssel bekommt, der eben nur starten kann und nicht etwa entschlüsseln oder gar von fremden Betriebssystemen aus offline mounten.

Bitlocker setzt dies mit der PIN um - Nutzer können mit der PIN nur starten, nicht aber entschlüsseln oder offline manipulieren. Nur der Admin hat das Recoverypasswort, mit dem er bei Bedarf manipulieren kann um z.B. gesperrte Admins zu entsperren. Andere Verschlüsselungen denken zum Teil nicht einmal soweit bzw. erachten diese Funktion als unwichtig, denn Nutzern trauen wir ja zu 100% und Backups haben wir eh.

Ist die Platte unverschlüsselt, ist so eine Reaktivierung offline eine Sache von 2 Minuten.
Member: watIsLos
watIsLos Dec 16, 2022 updated at 09:49:03 (UTC)
Goto Top
Zitat von @DerWoWusste:

Es geht also um Abwehr.

Wenn Du die Platte verschlüsselst, kannst Du Offlineangriffe, die sich ja über jegliche Rechtestrukturen, die im laufenden Windows greifen, hinwegsetzen, abwehren - gesetz dem Fall, dass der schwache Nutzer, der den Rechner ja weiterhin starten können soll, einen Verschlüsselungsschlüssel bekommt, der eben nur starten kann und nicht etwa entschlüsseln oder gar von fremden Betriebssystemen aus offline mounten.

Bitlocker setzt dies mit der PIN um - Nutzer können mit der PIN nur starten, nicht aber entschlüsseln oder offline manipulieren. Nur der Admin hat das Recoverypasswort, mit dem er bei Bedarf manipulieren kann um z.B. gesperrte Admins zu entsperren. Andere Verschlüsselungen denken zum Teil nicht einmal soweit bzw. erachten diese Funktion als unwichtig, denn Nutzern trauen wir ja zu 100% und Backups haben wir eh.

Ist die Platte unverschlüsselt, ist so eine Reaktivierung offline eine Sache von 2 Minuten.

Genau es geht um Abwehr!

Deswegen habe ich auf allen Clients Bitlocker aktiviert, die User haben nicht nur ein PW für den OS-Start bekommen, also für Bitlocker, sondern auch ein PW für die normale Windows Anmeldung. Damit wäre ja wie Du auch schon geschrieben hast der Physische Angriff abgewehrt, so lange der Angreifer das Bitlocker Passwort nicht kennt.

Gegen ein Angriff von außen, sagen wir mal der User klickt auf einen Link, die Firewall und die AV springt darauf nicht an bzw. erkennt den Angriff nicht als solches dagegen hilft ja Bitlocker nicht, da die Platte ja vorher schon entschlüsselt wurde.
Member: lcer00
lcer00 Dec 16, 2022 at 09:58:05 (UTC)
Goto Top
Hallo,
Zitat von @watIsLos:
Deswegen habe ich auf allen Clients Bitlocker aktiviert, die User haben nicht nur ein PW für den OS-Start bekommen, also für Bitlocker, sondern auch ein PW für die normale Windows Anmeldung. Damit wäre ja wie Du auch schon geschrieben hast der Physische Angriff abgewehrt, so lange der Angreifer das Bitlicker Passwort nicht kennt.

Gegen ein Angriff von außen, sagen wir mal der User klickt auf einen Link, die Firewall und die AV springt darauf nicht an bzw. erkennt den Angriff nicht als solches dagegen hilft ja Bitlocker nicht, da die Platte ja vorher schon entschlüsselt wurde.

Genau. Gegen einen Online-Angriff zum Aktivieren der Konten bzw. zum Erlangen von Lokalen Admin Rechten kannst Du Dich im Grunde nicht spezifisch schützen. Da gelten die allgemeinen Regeln (Updates einspielen, ggf. AV-Software, Rechte nur entsprechend der tatsächlichen Nutzung vergeben etc.)

Grüße

lcer
Member: Doskias
Doskias Dec 16, 2022 at 10:54:51 (UTC)
Goto Top
Moin,

Zitat von @watIsLos:
Gegen ein Angriff von außen, sagen wir mal der User klickt auf einen Link, die Firewall und die AV springt darauf nicht an bzw. erkennt den Angriff nicht als solches dagegen hilft ja Bitlocker nicht, da die Platte ja vorher schon entschlüsselt wurde.
Gegen Angriffe von außen schützt dich eine Firewall im Whitelist-Modus. Wenn der Link erst gar nicht geöffnet werden kann, braucht der Virenscanner nicht aktiv werden. face-wink

Gruß
Doskias
Member: DerWoWusste
DerWoWusste Dec 16, 2022 at 11:06:45 (UTC)
Goto Top
Deswegen habe ich auf allen Clients Bitlocker aktiviert, die User haben nicht nur ein PW für den OS-Start bekommen...
Ein Passwort? Das wäre schlecht. Denn damit kann man solche Angriffe fahren als normaler Nutzer. Du müsstest Ihnen eine PIN geben, die den TPM aufschließt und das Passwort zuvor wieder entfernen.
Member: watIsLos
watIsLos Dec 17, 2022 at 08:38:16 (UTC)
Goto Top
Also der User hat vor dem Start seine 14 Stelliges Bitlocker-Passwort und danach kommt noch das Windows Passwort.

Was ich nicht verstehe, wieso sollte es statt einem langen Passwort lieber ein Bitlocker-PIN sein den man eingeben muss?

oder haben wir uns hier Missverstanden?!
Member: lcer00
lcer00 Dec 17, 2022 at 10:21:34 (UTC)
Goto Top
Hallo,

Mit dem Passwort kann man die Festplatte entschlüsseln - auch die ausgebaute. Mit der PIN entsperrt man das TPM. Das geht also nur, wenn TPM+Festplatte im korrekten PC stecken.

Grüße

lcer
Member: watIsLos
watIsLos Dec 17, 2022 at 11:15:46 (UTC)
Goto Top
Das man mit TPM einen besseren Schutz hat wusste ich auch, man kann es auch ohne TPM laufenlassen, ist dann eben nur verschlüsselt.

So wie ich gelesen habe wird doch der TPM PIN vor dem Start automatisch geprüft und danach erfolgt das Reguläre Passwort über den Benutzer der dann die Festplatte entschlüsselt?!
Member: dertowa
dertowa Dec 17, 2022 at 11:38:24 (UTC)
Goto Top
Zitat von @kpunkt:

Das geht (noch immer) ziemlich einfach. Brauchts halt zwingend physischen Zugriff.

Nicht, wenn man ein Microsoftkonto am System nutzt. face-smile

Grüße
Member: DerWoWusste
DerWoWusste Dec 17, 2022 at 14:13:16 (UTC)
Goto Top
Was ich nicht verstehe, wieso sollte es statt einem langen Passwort lieber ein Bitlocker-PIN sein den man eingeben muss?
Du hast extra eine Policy modifiziert, sonst wäre das mit dem Passwort gar nicht erlaubt. Aber zu dem Zeitpukt hast Du dir wohl keine Gedanken darüber gemacht, warum Microsoft das nicht per Default erlaubt. Wie schon gesagt: mit dem Passwort kannst Du entschlüsseln und manipulieren, mit der PIN nicht.
So wie ich gelesen habe wird doch der TPM PIN vor dem Start automatisch geprüft
Nein, die PIN wird abgefragt, wie das Kennwort. Die richtige PIN erlaubt das Abrufen des Verschlüsselungsschlüssels aus dem TPM.

Per Default ist gar keine PIN zu setzen, das meinst Du wohl. Man muss auch dies erst per Policy fordern: https://www.howtogeek.com/262720/how-to-enable-a-pre-boot-bitlocker-pin- ...
Member: watIsLos
watIsLos Dec 17, 2022 at 15:53:59 (UTC)
Goto Top
Ja, hast Recht das wurde von mir modifiziert, aber damit nutze ich ja nur den Vorteil mit der Verschlüsselung und nicht noch zusätzlich die TPM Funktion.

Das werde ich auf jeden Fall nochmal anpassen müssen, will nämlich beides nutzen, hat ja sein Sinn!

Auf der Seite wird es eigentlich ganz gut beschrieben wieso man beides aktivieren sollte.

https://learn.microsoft.com/de-de/windows/security/identity-protection/h ...


Zitat von @DerWoWusste:
Member: Saftnase
Saftnase Dec 19, 2022 at 08:21:28 (UTC)
Goto Top
Google sagt dir auch wo du 30L Epoxidharz bekommst, damit schaffst du den nahezu perfekten Schutz gegen physischen Zugriff und wenn du Tastatur und Maus auch mit behandelts sinkt auch das UserRisiko.
Member: watIsLos
watIsLos Dec 19, 2022 at 08:34:11 (UTC)
Goto Top
Interessant, höre ich zum ersten mal von Epoxidharz :D
Ich denke aber das wir das hier erstmal nicht benötigen, trotzdem danke für diesen Tipp.