kv17uwe
Goto Top

Verstecktes Administratorkonto vor Passwort Änderung schützen?

Hallo zusammen,

ich habe eine Frage, am besten ich erkläre mal kurz die Umstände. Es geb um Notebooks. Auf diesen haben wir das lokale "versteckte" Administrator Konto aktiviert und mit einem PW versehen. Nun müssen wir die Notebooks auch für unsere Entwickler soweit freigeben das sie Software installieren können. Das geht wiederum nur mit einem Admin Konto. Also haben die Entwickler ein lokales Adminkonto. Dadurch besteht aber die Möglichkeit das PW des versteckten Admins zu ändern bzw den verstecken Admin zu deaktivieren.

Welche Möglichkeiten gibt es das zu unterbinden ?

Danke schon mal :D

Grüße

Uwe

Content-ID: 263797

Url: https://administrator.de/forum/verstecktes-administratorkonto-vor-passwort-aenderung-schuetzen-263797.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

Chonta
Chonta 18.02.2015 um 10:19:27 Uhr
Goto Top
Hallo,

keine die über ein " Hey ihr seid zwar lokaler Admin, aber last bitte die Finger von der Kontenverwaltung. Ok." hinausgeht.
Wenn die Rechner in der Domäne sind, dann kann sich der Domänenadmin immer Zugriff verschaffen und dessen Passwot kann nur ein Domänenadmin ändern.

Das Passwort von Lokalen Konten kann selbst ohne Adminkonot mit diversen Tools neu gesetzt werden etc, vondaher schriftlich vereinbaren was zu unterbleiben hat und gut ist.

Gruß

Chonta
Sunny89
Sunny89 18.02.2015 um 10:22:00 Uhr
Goto Top
Hallo Uwe,

sind die Notebooks in eine AD-Umgebung eingebunden oder werden diese ausschließlich lokal ohne AD betrieben?

LG
KV17uwe
KV17uwe 18.02.2015 um 10:28:43 Uhr
Goto Top
Hallo,

sowohl als auch. Es gibt Notebooks mit und ohne Domain Anbindung. Ja das mit der schriftlichen Vereinbarung haben wir schon.

Vg
emeriks
emeriks 18.02.2015 aktualisiert um 11:06:09 Uhr
Goto Top
Hi,
man könnte einen Scheduled Task laufen lassen oder einen Dienst, welcher z.B. alle 15 s das Passwort setzt.
z.B. mit VBscript.
GetObject("WinNT://localhost/administrator").SetPassword("DasIstEs!")  
Dieser Task müsste dann beim Rechnerstart mit genau diesem Administrator ausgeführt werden und ständig laufen.

Aber bedenke: Wenn das Script im Klartext auf dem Computer liegt, dann ist dort das Passwort drin! Also nicht wirklich clever. Man müsste das in eine EXE kompilieren o.ä.

E.
DerWoWusste
DerWoWusste 18.02.2015 aktualisiert um 11:38:20 Uhr
Goto Top
Hi.

Wenn Sie schon lokale Admins sind, ist das mit den lokalen Adminkonten ehrlich gesagt dein kleinstes Problem. Setze einfach Kennwortrichtlinien auf, die unterbinden schon, dass das Kennwort zu einfach wird.
Und dann schalte Überwachung von Kontenoperationen ein, so dass Du die Änderungen mitbekommst (erfordert ein Eventlogmanagement/einen Task, der benachrichtigt). Und zusätzlich vereinbarst Du schriftlich, dass dies eben nicht geschehen darf und deshalb überwacht wird.

@Chonta
Das Passwort von Lokalen Konten kann selbst ohne Adminkonot mit diversen Tools neu gesetzt werden
Nein. Wenn der Rechner nicht vollkommen ungepatcht ist, nicht. Dann müsstest Du schon offline ran und das widerum verhindern Verschlüsselungen.
Chonta
Chonta 18.02.2015 um 11:51:35 Uhr
Goto Top
Hallo,

@DerWoWusste
ich bin dabei auch von einer BootCD ausgegangen.
Und er machte sich ja Sorgen das Mitarbeiter dran rumspielen, und selbst wen diese kein Adminkonto haben, kennen die aber das Passwort um booten zu können.
Jeh nachdem welche Tools eingesetzt werden, können diese auch mit der Verschlüsselung umgeen, wenn das Passwort zum entschlüsseln bekannt ist.
Ausenstehende Angreifer sind durch Verschlüsselung der systemplatte natürlich weitgehend eingeschrenkt.
Und wenn ich nichts überlesen habe sind die Laptops nicht verschlüsselt (was bei Firmenlaptops die Außerhaus verwendet werden aber Standard sein sollte)

Gruß

Chonta
DerWoWusste
DerWoWusste 18.02.2015 um 11:59:43 Uhr
Goto Top
Jeh nachdem welche Tools eingesetzt werden, können diese auch mit der Verschlüsselung umgeen, wenn das Passwort zum entschlüsseln bekannt ist.
Da muss man differenzieren. Ich kann jemandem z.B. die Bitlocker-PIN geben und dennoch wird er bei der Boot-CD nicht mit der PIN rankommen, sondern den ihm unbekannten Wiederherstellungsschlüssel (bzw. diese CD dank Secure-Boot nicht einmal starten können). Aber das führt zu weit face-wink
Chonta
Chonta 18.02.2015 um 12:07:19 Uhr
Goto Top
Klingt interesannt,

klappt das auch wenn ich die Platte in einen Rechner schiebe der kein Secureboot hat bzw. ich verwende ein USB Gehäuse.
Ich muss ja von der Platte nicht booten, muss die nur um drauf zugreifen zu können entschlüüselt mounten können.

Bei uns ist kein Bitlocker im Einsatz, da MS das ja nicht allen Versionen spendiert...

Gruß

Chonta
DerWoWusste
DerWoWusste 18.02.2015 um 12:51:27 Uhr
Goto Top
Klar, das Recoverykennwort wird immer verlangt, wenn TPM im Einsatz ist und die Platte außerhalb der definierten Einsatzbedingungen benutzt wird. Und dieses Kennwort kann sich nur ein lokaler Admin beschaffen, ein User nicht.
Lochkartenstanzer
Lochkartenstanzer 18.02.2015 aktualisiert um 14:12:53 Uhr
Goto Top
Zitat von @KV17uwe:

Welche Möglichkeiten gibt es das zu unterbinden ?



Moin,

Damit sollte es gehen.

lks
emeriks
emeriks 18.02.2015 um 14:02:13 Uhr
Goto Top
Jaaaa!