Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Domänenadmin PW

Mitglied: SYS64738

SYS64738 (Level 1) - Jetzt verbinden

30.08.2017 um 21:10 Uhr, 1236 Aufrufe, 22 Kommentare, 1 Danke

Hallo zusammen,

ich habe heute mal test weise in meiner Testumgebung das Domänen Administrator PW meines MS 2016 Servers per BootCD, Austausch CMD.exe usw. wie allgemein bekannt, zurückgesetzt.
Diesen Trick gibt es ja schon seit Server 2008. Server 2003 oder 2000 habe ich jetzt nicht getestet.
Gibt es einen Grund warum das MS nicht fixt ?
Zum einen, rettet das den einen oder anderen Admin-Hintern, zum anderen ist es ja eine klare Hintertür.
Aber gibt es einen klaren Grund warum, so eine Lücke, die mit ein wenig googeln dazu führt, das jeder, der einen Server physikalisch erreichen kann, das PW ändert.
Na klar, man könnte jetzt Bitlocker(nicht ohne weiteres zu überwinden) usw. einsetzten, oder den Serverschrank abschließen(nicht schwer zu überwinden). Aber trotz allem sollte es doch so eine Lücke nicht geben.
Kenn einer den Grund, warum das über Jahre so von MS gehalten wird ?
Mitglied: certifiedit.net
30.08.2017 um 21:13 Uhr
Hi,

1. Verschlüsselung darunter
2. Abschottung der USB Ports...

aber, drittens wohl am meisten - Ein Server hat so da zu stehen, dass keiner da einfach so mal ran kommt - wie du es tust.

Frage geklärt?

100% Sicher ist ein System nur, wenn es nicht existiert.
Bitte warten ..
Mitglied: BassFishFox
30.08.2017 um 21:23 Uhr
Halloele,

meines MS 2016 Servers

Tja. Wenn Du Deine Server so einfach rumstehen laesst.
Versuch mal Microsoft deswegen zu verklagen. Als Grund wandelst Du das hier ab :
https://www.administrator.de/link/t%C3%B6dlicher-unfall-iphone-ablenkung ...

BFF
Bitte warten ..
Mitglied: maretz
30.08.2017 um 21:24 Uhr
Moin,

ganz einfach: Weil es schon mal physikalischen Zugriff auf den Server erfordert. Warum soll man sich da viel Mühe machen und das "abschalten" (das wäre halt nich ganz so einfach weil du diverse Prüfungen machen musst ob die entsprechenden Daten wirklich original sind). Wenn der Admin es aber erlaubt das jeder Zugriff zum Serverraum hat, das Rack offen ist, am Server eine Tastatur, Maus & Bildschirm steckt und man auch noch problemlos das Boot-Medium ändern kann - ganz ehrlich, dann is der auch irgendwann selbst schuld. Du brauchst ja nur alternative Boot-Methoden im Bios abschalten und ein Bios-PW setzen, schon bist du raus aus der Nummer. Wenn ich aber alles so offen lasse - was würde einen potenziellen Angreifer dann noch daran hindern den Server abzuschalten und einfach die Festplatte(n) + ggf. den Controller zu klauen, bei sich zuhause einbauen und die Daten da in ruhe zu klauen?

Von daher ist das keine wirkliche Lücke - denn du kannst das auch bei einem Linux-System ähnlich machen. Wer soviel Zugriff auf den Server hat - sorry, da hast du dann eh verloren. Und ehrlich gesagt noch ganz andere Probleme als das jemand das Passwort zurücksetzen könnte.
Bitte warten ..
Mitglied: DerWoWusste
30.08.2017 um 22:24 Uhr
Hi.

Das war und ist keine Lücke. Wenn Windows nicht läuft, greifen seine Schutzmechanismen und sein Rechtekonzept nicht - na sowas!
Dafür gibt es seit Ewigkeiten Verschlüsselung, genau aus dem Grund.
Bitte warten ..
Mitglied: sabines
31.08.2017 um 06:56 Uhr
Moinsen,

nur der Vollständigkeithalber: Das BIOS PW setze ich durch einen BIOS Reset ganz einfach zurück, wenn ich schon physikalischen Zugriff auf das System habe, dann sind solche Hürden nur noch was für aus Versehen ins BIOS geratene

Gruss
Bitte warten ..
Mitglied: certifiedit.net
31.08.2017 um 08:50 Uhr
Zitat von sabines:

Moinsen,

nur der Vollständigkeithalber: Das BIOS PW setze ich durch einen BIOS Reset ganz einfach zurück, wenn ich schon physikalischen Zugriff auf das System habe, dann sind solche Hürden nur noch was für aus Versehen ins BIOS geratene

Gruss

oder aber - wenn ich physikalischen Zugriff habe - nehme ich mir einfach die platten mit
Bitte warten ..
Mitglied: sabines
31.08.2017 um 09:01 Uhr
Zitat von certifiedit.net:
oder aber - wenn ich physikalischen Zugriff habe - nehme ich mir einfach die platten mit


bei uns ist im BIOS eingestellt, dass die HDDs nur mit dem PC zusammen funktionieren, so wie früher die SIM Karten, haben wir extra anpassen lassen, und der PC ist mit Kensigton verkabelt.
Tja, hat nicht jeder so ein Sicherheitskonzept.

Und ich prüfe das täglich!
Mist, ganzer Server samt Heizung geklaut
Bitte warten ..
Mitglied: certifiedit.net
31.08.2017 um 09:03 Uhr
Das würd mich jetzt interessieren, wie ihr das gemacht habt- Bulletproof.


Aber da die PCs so gesichert sind ist das eben auch etwas ganz anderes. Wobei es dann auch so Kensingtonlocks gibt, die man einfach mühelos rausreisen kann. :D
Bitte warten ..
Mitglied: Coreknabe
31.08.2017 um 09:17 Uhr
Moinsen!

Ist nicht erst morgen Freitag?

Gruß
Bitte warten ..
Mitglied: sabines
31.08.2017 um 09:33 Uhr
Zitat von Coreknabe:

Moinsen!

Ist nicht erst morgen Freitag?

Gruß

Doppelmist, erst die Heizung weg und nun auch der Donnerstag!
Bitte warten ..
Mitglied: maretz
31.08.2017 um 09:35 Uhr
Klar - deshalb ist bei einem phy. Zugriff auf die Server auch nicht mehr viel möglich... Und nehmen wir an ich will der Firma nur schaden -> dann hilft dir selbst Verschlüsselung usw. nicht. Dann hau ich halt den Server mit nem 20kg Vorschlaghammer zu Klump. Dann hilft die beste Verschlüsselung nicht ;)
Bitte warten ..
Mitglied: certifiedit.net
31.08.2017 um 09:38 Uhr
Ein Schelm könnte sagen, dass er dann perfekt verschlüsselt ist.
Bitte warten ..
Mitglied: Vancouverona
31.08.2017, aktualisiert um 11:11 Uhr
Eine gute Möglichkeit interessierte Kollegen von "Hacken" abzuhalten, ist der Einsatz von vmWare Virtualisierung. Das ganze dann auf einem Storage.
Da hilft Dir auch kein physikalischer Zugang zum Server (incl. BIOS).

Und natürlich eine abschließbare Sicherheitstür mit einer stark begrenzten Anzahl von Schlüsseln
Bitte warten ..
Mitglied: em-pie
31.08.2017 um 11:27 Uhr
Servus,


Und wo ist da die Sicherheit @Vancouverona?

Dann starte ich mein Live-Linux vom Stick an dem Server und greife auf alle verfügbaren LUNs des Datastores zu, da ja die Storages irgendwie (iSCSI, FC, SAS, ...) mit dem Server verbunden ist. Und am SAN-Switch sicherlich das Zoning sich nicht ändert, nur weil an einem Server ein anderes OS startet...

Hier ist ja die Gefahr noch Größer, da ich nicht nur Zugriff auf einen Server sondern auf sehr viele mehr Server habe

Vom Grundsatz her gilt: Jedem der nichts an der Hardware zu suchen hat, muss es so schwer wie möglich gemacht werden, Zugang dorthin zu erhalten. Schlimmstenfalls wird der Server bei 1000m tiefe einbetoniert....


Gruß
em-pie
Bitte warten ..
Mitglied: certifiedit.net
31.08.2017 um 11:28 Uhr
Zitat von em-pie:

Servus,

Vom Grundsatz her gilt: Jedem der nichts an der Hardware zu suchen hat, muss es so schwer wie möglich gemacht werden, Zugang dorthin zu erhalten. Schlimmstenfalls wird der Server bei 1000m tiefe einbetoniert....

wie viele Lochbohrungen hast du bereits durchgeführt?
Bitte warten ..
Mitglied: em-pie
31.08.2017, aktualisiert um 11:39 Uhr
Ach... wieso bohren?

Geht viel besser und die Kühlung ist gleich mit dabei

P.S. hatte eine 1 noch vergessen...
Bitte warten ..
Mitglied: SYS64738
31.08.2017 um 13:34 Uhr
Irgendwie schweift das hier so ab

Das die physikalischen Server nicht erreichbar sein sollen usw. sollte jedem klar sein.
Mir geht es nur darum, warum MS so eine "IMHO" offensichtliche, mit googeln leicht auffindbare Hintertür über Servergenerationen offen lässt. Es muss doch einen Grund geben, warum das so von denen gelassen wird. Dass MS das nicht bekannt ist, bezweifle ich.
Bitte warten ..
Mitglied: BassFishFox
31.08.2017 um 13:43 Uhr
Hallo,

Es muss doch einen Grund geben, warum das so von denen gelassen wird.

1. Um an die eigenen Server/PC ranzukommen.
2. Es nicht als Hintertuer ansehen.

BFF
Bitte warten ..
Mitglied: Penny.Cilin
31.08.2017 um 16:36 Uhr
Zitat von SYS64738:

Irgendwie schweift das hier so ab

Stimmt.
Das die physikalischen Server nicht erreichbar sein sollen usw. sollte jedem klar sein.
Verstehen wir.
Mir geht es nur darum, warum MS so eine "IMHO" offensichtliche, mit googeln leicht auffindbare Hintertür über Servergenerationen offen lässt. Es muss doch einen Grund geben, warum das so von denen gelassen wird. Dass MS das nicht bekannt ist, bezweifle ich.
Dann wende Dich bitte an Microsoft und frage dort nach! - Ich denke schon, dass das Microsoft bekannt ist.
Und die werden sich etwas dabei gedacht haben. - Was, das wissen wir nicht Ergo frage Microsoft.
Wir von der Community haben den Quellcode Von Windows nicht geschweige denn haben wir Windows entwickelt.

Und Deine Frage, ist eigentlich keine Frage sondern eine Feststellung, welche vielen Administratoren, beileibe nicht Allen bekannt ist.
Bitte warten ..
Mitglied: Vancouverona
01.09.2017 um 13:13 Uhr
Danke für den Hinweis

Hatte ich vergessen zu erwähnen:

- Abschließbarer Serverraum mit begrenztem Zugang zu Schlüsseln
- Abschließbarer Serverschrank mit individuellem Schloß
- USB-Schnittstellen funktionslos
- Kein Diskettenlaufwerk
- CD-/DVD-Laufwerk ohne Funktion
- BIOS geschützt

Habe ich sonst noch etwas vergessen?
Bitte warten ..
Mitglied: certifiedit.net
01.09.2017 um 13:18 Uhr
Abgeschlossener Server
Remoteverwaltung entsprechend geschützt.
Bitte warten ..
Mitglied: maretz
02.09.2017 um 09:03 Uhr
Ja - nämlich gucken wie die Umgebung ist... Sorry, es gibt nicht die "Bauanleitung" für einen sicheren Server.

a) Abgeschlossener Serverschrank: Hilft dir z.B. wenig wenn der Schrank dafür vorne einfach ne Glasscheibe hat (bzw. wenn man einfach das Schloss aufhebeln kann).

Bei uns ist z.B. "Bauartbedingt" der Serverschrank eher wenig gesichert - und ganz ehrlich, wenn du die Stahltür davor bereits aus den Angeln getreten hast musst du allein Körperlich so gebaut sein das ich dir danach freiwillig alle Schlüssel, Passwörter und all mein Geld gebe. Ich helfe sogar noch beim Tragen wenn ich aus der Nummer dann rauskomme ;)

Daher: Das ist etwas völlig individuelles was von der Umgebung, dem Server selbst usw. abhängt. Und nur wenn man das genau anpasst macht es Sinn und du kannst den Server schützen. Stell dir z.B. dein Konzept auf ner Forschungsstation in der Arktis oder auf der Internationalen Raumstation vor. Der Server muss neu gestartet werden und du schickst nen Admin an solche Gebiete? Oder du stellst den Server ohne grossen Schutz und vertraust darauf das die Benutzer "erwachsen" genug sind da keinen Unsinn zu machen - wenn aber nötig für dich die Kisten durchstarten?
Bitte warten ..
Ähnliche Inhalte
Windows Tools
LAPS Pw Anzeige
Frage von Adnan88Windows Tools2 Kommentare

Hallo, ich habe bei mir soeben LAPS auf dem DC installiert, nun habe ich aber folgendes Problem wenn ich ...

Windows 7
Bitlocker PW Hinterlegen
Frage von HanutaWindows 718 Kommentare

Hallo Zusammen, gibt es eine Möglichkeit wie bei Win10 das Bitlocker PW zu hinterlegen, das der User es nicht ...

CPU, RAM, Mainboards
BIOS PW entfernen
gelöst Frage von MarcysCPU, RAM, Mainboards18 Kommentare

Hallo zusammen, einige Kollegen (normale User) möchten ihre PC besonderes schützen und vergeben ein BIOS Passwort. So verhindern sie, ...

Router & Routing
PW-Change Zyxel USG60W
gelöst Frage von HenereRouter & Routing4 Kommentare

Servus, meine Zyxel möchte, dass ich mein Paßwort wechsele. Ich verbinde mit auf die Webgui und gebe dort User ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019
Information von Frank vor 4 StundenOff Topic1 Kommentar

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 17 StundenHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 2 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 2 TagenWindows 109 Kommentare

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

Heiß diskutierte Inhalte
Ausbildung
Wie sind eure Erfahrungen als oder mit Ü30 Azubis für Fachinformatik Systemintegration?
Frage von CaptainProcessorAusbildung24 Kommentare

Tagchen allerseits :) Mir steht in wenigen Monaten eine Veränderung bevor, da mein AG seine IT auslagert und ich ...

LAN, WAN, Wireless
Gleichzeitiger Zugriff übers Netzwerk: SSD vs HDD
gelöst Frage von ahussainLAN, WAN, Wireless20 Kommentare

Hallo, ich möchte in einem Rechner eine zusätzliche SATA-Festplatte einbauen und von dort diverse Ordner übers Netzwerk (Gigabit Ethernet) ...

Netzwerkmanagement
Gateprotect Firewall - Internetseiten werden teilw. nicht geladen
Frage von KivasFNetzwerkmanagement16 Kommentare

Morgen Zusammen, ich habe ein Problem mit einer Gateprotect Firewall welches mir echt Kopfschmerzen bereitet. Die Firewall hängt an ...

Router & Routing
HP 2920 als Router konfigurieren. Bitte um Unterstützung
gelöst Frage von suedi123Router & Routing16 Kommentare

Liebe Forumsmitglieder, ich habe hier ein Problem, bei welchem ich nicht weiterkomme, weil ich mich zu wenig mit der ...