grotti74
Goto Top

FALLSTUDIE Win2k/XP: Montags in der Firma, alle Logons stehen auf "administrator"!

Eine wahre Begebenheit, die dazu dienen soll, um bei besorgten Admins wieder Gemütsruhe einkehren zu lassen: ist alles harmloser, als es aussieht.

Hi,

ich will das mal hier reinstellen, um einfach gewisse sicherheitsbesorgte Administratoren (u. a.) in 99%iger Sicherheit zu wiegen, dass nichts ernstes vorgefallen ist!

Rückblende:
Heute morgen in der Firma, ich will mich auf meinem Mitarbeiter-PC einloggen: nach Drücken des Affengriffs steht da ein logon: "administrator". Uii, sehr verdächtig. Glücklicherweise sind wir eine sehr überschaubare Firma, also starte ich eine Rundfrage, wer auf "meinem" PC mit administrator drin war und WARUM. Normalerweise besteht dazu nie Anlass; und wenn (Entsperrung etc.) , kann es die GL remote machen.

Antwort: KEINER!

Mit Misstrauen kann man kein Arbeitsverhältnis aufrechterhalten, also habe ich natürlich allen (inklusive GL) geglaubt -- und gut daran getan!
Der Technische Leiter erwähnte "nebenbei" etwas äußerst wichtiges:

Ein kurzzeitiger (8 sek.) Stromausfall am vergangenen Freitag um ca. 17:00 Uhr. (Alle übrigen MA verließen das Unternehmen aber um spätestens 15:30, das ist 100% sicher).

[Und nein, wir haben _keine_ USV.]

Und genau *DAS* wars: Stromausfall des Hauptservers, zwar nur kurzzeitig, aber das löste jedenfalls auf den Windows2k-Maschinen (XP weiß ich nicht) das Erstlogon "administrator" aus! D. h., mit Fug & Recht darf zunächst angenommen werden, jemand hätte mit dem Domänen (!!) Admin auf die Kiste zugegriffen!

Mit solchen Begebenheiten denke ich ist NICHT zu spaßen!!
Ich habe das auch erst nach Recherche herausbekommen: Windows 2000 stellt bei unvorhergesehenem Reset seine Erst-Logons tatsächlich zurück auf den (Domänen-)Administrator. Teilweise funktionieren dann auch Lokaladmins nicht - so wie bei mir: ich musste mir einen neuen einrichten lassen.
Hätte - wenn der Vorgang nicht hätte lückenlos erklärt werden können - genausogut bedeuten können, dass "administrator" mal wieder sein Passwort ändern sollte (!!) und der nämlich voll-internetfähige Server per seiner dedizierten IP von außen unerwünschten Besuch bekommen hatte! Und das hieße: Alarmstufe eins.

Content-ID: 32421

Url: https://administrator.de/forum/fallstudie-win2k-xp-montags-in-der-firma-alle-logons-stehen-auf-administrator-32421.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

Majestro
Majestro 15.05.2006 um 12:49:16 Uhr
Goto Top
Netter Beitrag, Danke für den Tip.

Hätte - wenn der Vorgang nicht hätte lückenlos erklärt werden können - genausogut >bedeuten können, dass "administrator" mal wieder sein Passwort ändern sollte (!!) und >der nämlich voll-internetfähige Server per seiner dedizierten IP von außen unerwünschten >Besuch bekommen hatte

Normalerweise hättest du nach dem "Affengriff" dein Adminpasswort eingeben müssen um zu einer Passwortänderung zu gelangen.

Aber sonst klasse, danke nochmal für die Info.

Gruß
Björn
16568
16568 15.05.2006 um 13:09:49 Uhr
Goto Top
Danke für die Info.


Lonesome Walker
17243
17243 15.05.2006 um 15:25:07 Uhr
Goto Top
Hi grotti

Ich habe das auch erst nach Recherche
herausbekommen, dass Windows bei
unvorhergesehenem Reset seine Erst-Logons
zurück auf den
(Domänen-)Administrator stellt.

Darf ich Frage, wer dir während deiner Recherche diese Info gegeben hat?

Wir hatten in der 2. Hälfte letzten Jahres drei grössere Stromausfälle. In der Firma stehen um die 200 Clients, ca. 65% davon mit Win2000 die restlichen mit XP.
Wir hatten bei keinem einzigen Client dieses Phänomen, dass im Login-Fenster nach dem erneuten Starten "administrator" drin stand. Also wir können das hier nicht bestätigen.

gretz drop
grotti74
grotti74 15.05.2006 um 16:10:15 Uhr
Goto Top
Tja tut mir für dich leid, heißt aber nicht, dass dein Fall überall so abläuft (gilt ebenso für meinen)

Einfach beantwortet: ich habe Augen im Kopf. Außerdem vertraue ich meinen Leuten hier; davon abgesehen, sind manche froh, wenn sie als _User_ mit dem Teil klarkommen.
Das Phänomen war auf allen Rechnern im Netzwerk zu sehen.
Und dass jemand per "administrator" auf ALLE Kisten gleichzeitig muss wäre schon "sehr" komisch...

Wenn ich mich jetzt nicht total täusche - ich google da jetzt auch nicht rum - macht sowohl Windows 2k als auch XP einen Unterschied zwischen Remote-Login und lokalem Login, d. h.:

- angenommen ich bin "mitarb1"
- ich logge mich aus, die Kiste zeigt den ctrl-alt-del Prompt
- jetzt loggt sich der Domänen-Admin von oben ein (REMOTE)
- ich starte präventiv neu (vielleicht überflüssig, aber nur sicherheitshalber, damit sich Windows 100% sicher den richtigen last login "holt", bei Win weiß man nie...)

der User, der bei mir auf dem Monitor erscheint, sollte nach wie vor "mitarb1" sein!
Keine Zeit das jetzt auszutesten, aber ich bin mir fast sicher...
grotti74
grotti74 28.02.2007 um 09:50:50 Uhr
Goto Top
Nach fast einem Jahr: ein UPDATE!!

Die Sache ist gelöst - aber das Ganze liegt daran, dass ich einfach ein vertrauensseliger Mensch bin und nicht bei jedem immer zuerst das Schlechte denke...diesesmal _hätte_ ich aber richtig mißtrauisch sein sollen. Aber somit bin ich wenigstens für die Zukunft um eine Erfahrung reicher face-smile)

Tja drop, was lange währt wird endlich gut - du darfst wieder ruhig schlafen, denn du hattest damals RECHT! (15.05.2006)
Ich hatte bei der Firma ein befristetes Projekt bekommen, dessen Finanzier zum 31.05.2006 unerwartet absprang und ich mir eine neue Stelle suchen musste (die Firma war Fremdbranche, und dieses Projekt hatte nur zufällig mit IT zu tun)
Außerdem hatte das Projekt mit Forschung zu tun, und dort wird ja gerne 10x geforscht, und 9 Projekte wieder abgeblasen.--

Also Minifirmen (< 10 Mann) können schon grausam sein!! Offenbar hatte die GL in meiner Abwesenheit eine Generalvereinbarung getroffen, bei Fragen meinerseits, wer mit dem Domänen-Admin bei mir auf dem Rechner war, stets zu sagen: "Ich war's nicht"
DER STROMAUSFALL WAR OFFENSICHTLICH GELOGEN!!

Was die gemacht haben, war was ganz anderes: einen MIRROR! Die haben per DA zur Spiegelung meiner Festplatte da reinmüssen, um sicherzugehen dass ich vor dem Geschaßtwerden nicht noch was lösche! (Wozu ich nicht übel Lust gehabt hätte bei der Behandlung!)
Menschen mit administrativen Rechten (auch Entwickler, die nicht jedesmal den Hiwi fragen können ob er ihnen ein SDK installiert) erzeugen offenbar ein echtes Angstpotential, was einem selbst ein skurriles Machtgefühl gibt. face-smile Mit dem richtigen Handgriff könnte ich da so eine Art "schleichenden Tod" über die Verzeichnisse basteln!

Gut, dass ein bekannter Kollege dasselbe Problem hatte und mir die Eingebung gab, was der wahre Grund für das seltsame "Gott"-Login gewesen sein musste.

Also ich weise alles Lob zurück über diesen meinen "tollen Tip" und danke drop für sein kontroverses Statement! Der hat's richtig gemacht: der glaubt nicht alles vom Fleck weg! face-big-smile