sys64738
Goto Top

Domänenadmin PW

Hallo zusammen,

ich habe heute mal test weise in meiner Testumgebung das Domänen Administrator PW meines MS 2016 Servers per BootCD, Austausch CMD.exe usw. wie allgemein bekannt, zurückgesetzt.
Diesen Trick gibt es ja schon seit Server 2008. Server 2003 oder 2000 habe ich jetzt nicht getestet.
Gibt es einen Grund warum das MS nicht fixt ?
Zum einen, rettet das den einen oder anderen Admin-Hintern, zum anderen ist es ja eine klare Hintertür.
Aber gibt es einen klaren Grund warum, so eine Lücke, die mit ein wenig googeln dazu führt, das jeder, der einen Server physikalisch erreichen kann, das PW ändert.
Na klar, man könnte jetzt Bitlocker(nicht ohne weiteres zu überwinden) usw. einsetzten, oder den Serverschrank abschließen(nicht schwer zu überwinden). Aber trotz allem sollte es doch so eine Lücke nicht geben.
Kenn einer den Grund, warum das über Jahre so von MS gehalten wird ?

Content-ID: 347747

Url: https://administrator.de/forum/domaenenadmin-pw-347747.html

Ausgedruckt am: 26.12.2024 um 02:12 Uhr

certifiedit.net
certifiedit.net 30.08.2017 um 21:13:37 Uhr
Goto Top
Hi,

1. Verschlüsselung darunter
2. Abschottung der USB Ports...

aber, drittens wohl am meisten - Ein Server hat so da zu stehen, dass keiner da einfach so mal ran kommt - wie du es tust.

Frage geklärt?

100% Sicher ist ein System nur, wenn es nicht existiert. face-wink
BassFishFox
BassFishFox 30.08.2017 um 21:23:02 Uhr
Goto Top
Halloele,

meines MS 2016 Servers

Tja. Wenn Du Deine Server so einfach rumstehen laesst. face-wink
Versuch mal Microsoft deswegen zu verklagen. face-wink Als Grund wandelst Du das hier ab :
Tödlicher Unfall durch iPhone-Ablenkung: Gericht sieht Apple nicht als mitschuldig

BFF
maretz
maretz 30.08.2017 um 21:24:12 Uhr
Goto Top
Moin,

ganz einfach: Weil es schon mal physikalischen Zugriff auf den Server erfordert. Warum soll man sich da viel Mühe machen und das "abschalten" (das wäre halt nich ganz so einfach weil du diverse Prüfungen machen musst ob die entsprechenden Daten wirklich original sind). Wenn der Admin es aber erlaubt das jeder Zugriff zum Serverraum hat, das Rack offen ist, am Server eine Tastatur, Maus & Bildschirm steckt und man auch noch problemlos das Boot-Medium ändern kann - ganz ehrlich, dann is der auch irgendwann selbst schuld. Du brauchst ja nur alternative Boot-Methoden im Bios abschalten und ein Bios-PW setzen, schon bist du raus aus der Nummer. Wenn ich aber alles so offen lasse - was würde einen potenziellen Angreifer dann noch daran hindern den Server abzuschalten und einfach die Festplatte(n) + ggf. den Controller zu klauen, bei sich zuhause einbauen und die Daten da in ruhe zu klauen?

Von daher ist das keine wirkliche Lücke - denn du kannst das auch bei einem Linux-System ähnlich machen. Wer soviel Zugriff auf den Server hat - sorry, da hast du dann eh verloren. Und ehrlich gesagt noch ganz andere Probleme als das jemand das Passwort zurücksetzen könnte.
DerWoWusste
DerWoWusste 30.08.2017 um 22:24:15 Uhr
Goto Top
Hi.

Das war und ist keine Lücke. Wenn Windows nicht läuft, greifen seine Schutzmechanismen und sein Rechtekonzept nicht - na sowas!
Dafür gibt es seit Ewigkeiten Verschlüsselung, genau aus dem Grund.
sabines
sabines 31.08.2017 um 06:56:42 Uhr
Goto Top
Moinsen,

nur der Vollständigkeithalber: Das BIOS PW setze ich durch einen BIOS Reset ganz einfach zurück, wenn ich schon physikalischen Zugriff auf das System habe, dann sind solche Hürden nur noch was für aus Versehen ins BIOS geratene face-wink

Gruss
certifiedit.net
certifiedit.net 31.08.2017 um 08:50:49 Uhr
Goto Top
Zitat von @sabines:

Moinsen,

nur der Vollständigkeithalber: Das BIOS PW setze ich durch einen BIOS Reset ganz einfach zurück, wenn ich schon physikalischen Zugriff auf das System habe, dann sind solche Hürden nur noch was für aus Versehen ins BIOS geratene face-wink

Gruss

oder aber - wenn ich physikalischen Zugriff habe - nehme ich mir einfach die platten mit face-smile
sabines
sabines 31.08.2017 um 09:01:07 Uhr
Goto Top
Zitat von @certifiedit.net:
oder aber - wenn ich physikalischen Zugriff habe - nehme ich mir einfach die platten mit face-smile


bei uns ist im BIOS eingestellt, dass die HDDs nur mit dem PC zusammen funktionieren, so wie früher die SIM Karten, haben wir extra anpassen lassen, und der PC ist mit Kensigton verkabelt.
Tja, hat nicht jeder so ein Sicherheitskonzept.

Und ich prüfe das täglich!
Mist, ganzer Server samt Heizung geklaut face-wink
certifiedit.net
certifiedit.net 31.08.2017 um 09:03:54 Uhr
Goto Top
Das würd mich jetzt interessieren, wie ihr das gemacht habt- Bulletproof. face-wink


Aber da die PCs so gesichert sind ist das eben auch etwas ganz anderes. Wobei es dann auch so Kensingtonlocks gibt, die man einfach mühelos rausreisen kann. :D
Coreknabe
Coreknabe 31.08.2017 um 09:17:33 Uhr
Goto Top
Moinsen!

Ist nicht erst morgen Freitag?

Gruß
sabines
sabines 31.08.2017 um 09:33:48 Uhr
Goto Top
Zitat von @Coreknabe:

Moinsen!

Ist nicht erst morgen Freitag?

Gruß

Doppelmist, erst die Heizung weg und nun auch der Donnerstag!
maretz
maretz 31.08.2017 um 09:35:29 Uhr
Goto Top
Klar - deshalb ist bei einem phy. Zugriff auf die Server auch nicht mehr viel möglich... Und nehmen wir an ich will der Firma nur schaden -> dann hilft dir selbst Verschlüsselung usw. nicht. Dann hau ich halt den Server mit nem 20kg Vorschlaghammer zu Klump. Dann hilft die beste Verschlüsselung nicht ;)
certifiedit.net
certifiedit.net 31.08.2017 um 09:38:08 Uhr
Goto Top
Ein Schelm könnte sagen, dass er dann perfekt verschlüsselt ist. face-wink
Vancouverona
Vancouverona 31.08.2017 aktualisiert um 11:11:47 Uhr
Goto Top
Eine gute Möglichkeit interessierte Kollegen von "Hacken" abzuhalten, ist der Einsatz von vmWare Virtualisierung. Das ganze dann auf einem Storage.
Da hilft Dir auch kein physikalischer Zugang zum Server (incl. BIOS).

Und natürlich eine abschließbare Sicherheitstür mit einer stark begrenzten Anzahl von Schlüsseln face-smile
em-pie
em-pie 31.08.2017 um 11:27:31 Uhr
Goto Top
Servus,


Und wo ist da die Sicherheit @Vancouverona?

Dann starte ich mein Live-Linux vom Stick an dem Server und greife auf alle verfügbaren LUNs des Datastores zu, da ja die Storages irgendwie (iSCSI, FC, SAS, ...) mit dem Server verbunden ist. Und am SAN-Switch sicherlich das Zoning sich nicht ändert, nur weil an einem Server ein anderes OS startet...

Hier ist ja die Gefahr noch Größer, da ich nicht nur Zugriff auf einen Server sondern auf sehr viele mehr Server habe face-wink

Vom Grundsatz her gilt: Jedem der nichts an der Hardware zu suchen hat, muss es so schwer wie möglich gemacht werden, Zugang dorthin zu erhalten. Schlimmstenfalls wird der Server bei 1000m tiefe einbetoniert....


Gruß
em-pie
certifiedit.net
certifiedit.net 31.08.2017 um 11:28:48 Uhr
Goto Top
Zitat von @em-pie:

Servus,

Vom Grundsatz her gilt: Jedem der nichts an der Hardware zu suchen hat, muss es so schwer wie möglich gemacht werden, Zugang dorthin zu erhalten. Schlimmstenfalls wird der Server bei 1000m tiefe einbetoniert....

wie viele Lochbohrungen hast du bereits durchgeführt?
em-pie
em-pie 31.08.2017 aktualisiert um 11:39:29 Uhr
Goto Top
Ach... wieso bohren?

Geht viel besser und die Kühlung ist gleich mit dabei face-wink

P.S. hatte eine 1 noch vergessen...
SYS64738
SYS64738 31.08.2017 um 13:34:33 Uhr
Goto Top
Irgendwie schweift das hier so ab face-wink

Das die physikalischen Server nicht erreichbar sein sollen usw. sollte jedem klar sein.
Mir geht es nur darum, warum MS so eine "IMHO" offensichtliche, mit googeln leicht auffindbare Hintertür über Servergenerationen offen lässt. Es muss doch einen Grund geben, warum das so von denen gelassen wird. Dass MS das nicht bekannt ist, bezweifle ich.
BassFishFox
BassFishFox 31.08.2017 um 13:43:48 Uhr
Goto Top
Hallo,

Es muss doch einen Grund geben, warum das so von denen gelassen wird.

1. Um an die eigenen Server/PC ranzukommen. face-wink
2. Es nicht als Hintertuer ansehen.

BFF
Penny.Cilin
Penny.Cilin 31.08.2017 um 16:36:45 Uhr
Goto Top
Zitat von @SYS64738:

Irgendwie schweift das hier so ab face-wink

Stimmt.
Das die physikalischen Server nicht erreichbar sein sollen usw. sollte jedem klar sein.
Verstehen wir.
Mir geht es nur darum, warum MS so eine "IMHO" offensichtliche, mit googeln leicht auffindbare Hintertür über Servergenerationen offen lässt. Es muss doch einen Grund geben, warum das so von denen gelassen wird. Dass MS das nicht bekannt ist, bezweifle ich.
Dann wende Dich bitte an Microsoft und frage dort nach! - Ich denke schon, dass das Microsoft bekannt ist.
Und die werden sich etwas dabei gedacht haben. - Was, das wissen wir nicht Ergo frage Microsoft.
Wir von der Community haben den Quellcode Von Windows nicht geschweige denn haben wir Windows entwickelt.

Und Deine Frage, ist eigentlich keine Frage sondern eine Feststellung, welche vielen Administratoren, beileibe nicht Allen bekannt ist.
Vancouverona
Vancouverona 01.09.2017 um 13:13:19 Uhr
Goto Top
Danke für den Hinweis face-wink

Hatte ich vergessen zu erwähnen:

- Abschließbarer Serverraum mit begrenztem Zugang zu Schlüsseln
- Abschließbarer Serverschrank mit individuellem Schloß
- USB-Schnittstellen funktionslos
- Kein Diskettenlaufwerk
- CD-/DVD-Laufwerk ohne Funktion
- BIOS geschützt

Habe ich sonst noch etwas vergessen?
certifiedit.net
certifiedit.net 01.09.2017 um 13:18:27 Uhr
Goto Top
Abgeschlossener Server
Remoteverwaltung entsprechend geschützt.
maretz
maretz 02.09.2017 um 09:03:31 Uhr
Goto Top
Ja - nämlich gucken wie die Umgebung ist... Sorry, es gibt nicht die "Bauanleitung" für einen sicheren Server.

a) Abgeschlossener Serverschrank: Hilft dir z.B. wenig wenn der Schrank dafür vorne einfach ne Glasscheibe hat (bzw. wenn man einfach das Schloss aufhebeln kann).

Bei uns ist z.B. "Bauartbedingt" der Serverschrank eher wenig gesichert - und ganz ehrlich, wenn du die Stahltür davor bereits aus den Angeln getreten hast musst du allein Körperlich so gebaut sein das ich dir danach freiwillig alle Schlüssel, Passwörter und all mein Geld gebe. Ich helfe sogar noch beim Tragen wenn ich aus der Nummer dann rauskomme ;)

Daher: Das ist etwas völlig individuelles was von der Umgebung, dem Server selbst usw. abhängt. Und nur wenn man das genau anpasst macht es Sinn und du kannst den Server schützen. Stell dir z.B. dein Konzept auf ner Forschungsstation in der Arktis oder auf der Internationalen Raumstation vor. Der Server muss neu gestartet werden und du schickst nen Admin an solche Gebiete? Oder du stellst den Server ohne grossen Schutz und vertraust darauf das die Benutzer "erwachsen" genug sind da keinen Unsinn zu machen - wenn aber nötig für dich die Kisten durchstarten?