bloedman
Goto Top

Wie kann ich den lokalen Administrator schützen ?

Windows Server 2008 R2 & 2003 R2 Umgebung
Windows XP Clients

Bei uns ist es nun vermehrt vorgekommen, dass Leute sich BootCDs besorgt haben und den lokal Admin dann zurückgesetzt haben.
Wir würden nun gerne dies verhindern.
Fällt jemand dazu eine Lösung ein? Am liebsten das SAM File löschen oder so...

Gruss
Kommentar vom Moderator Biber am 21.12.2010 um 18:46:38 Uhr
Geschlossen
Ist technisch nicht lösbar - ist eher ein Akzeptanzproblem.

Content-ID: 157382

Url: https://administrator.de/forum/wie-kann-ich-den-lokalen-administrator-schuetzen-157382.html

Ausgedruckt am: 02.02.2025 um 07:02 Uhr

dog
dog 21.12.2010 um 16:06:06 Uhr
Goto Top
Wie wäre es mit BIOS-Passwort einstellen? face-smile
Auf den besseren Business-Rechnern deaktiviert das auch das Booten von CD.

Die alternative wäre eine Hardware-Karte wie Dr. Kaiser oder RebornCard, die alle Festplattenänderungen abfangen können.
60730
60730 21.12.2010 um 16:06:23 Uhr
Goto Top
Auch dir keinen Gruß,

wer seine Systeme so absichert, dass Hans Harz und Frieda Fröhlich munter von CD/USB booten kann, der macht was falsch.

  • Betriebsvereinbarung
  • Bios absichern

Gruß
brammer
brammer 21.12.2010 um 16:08:21 Uhr
Goto Top
Hallo,

Bios mit Passwort sichern, booten von CD verbieten.
Erledigt!

Wenn du den SAM File löscht kann sich keiner mehr anmelden!
auch du nicht....

brammer
O-Marc
O-Marc 21.12.2010 um 16:13:56 Uhr
Goto Top
Nur das BIOS per Kennwort zu schützen, reicht nicht immer aus. Denn in vielen Fällen lässt sich beim POST-Screen durch Drücken einer Taste (z.B. F12) ein Bootdevice auswählen.
Daher würde ich neben Setzen eines Kennworts noch folgendes empfehlen:

- "Boot Other Device" deaktivieren.
- wenn vorhanden, andere Bootdevices aus der Bootliste entfernen
- das manuelle Auswählen des Bootdevice ("F12") beim Booten deaktivieren
60730
60730 21.12.2010 um 16:15:26 Uhr
Goto Top
[OT]
Wenn drei dumme einen Gedanken haben und der Fragesteller sich selber Blödman nennt, dann stimmt doch was nicht auf diesem Planeten...
[/OT]
@O-Marc - naja also das man vorm Bios Passwortschutz auch ein paar zu schützendes Settings hinterlegt hat, das sollte auch der vorletzte Lötman kapiert haben...
Bloedman
Bloedman 21.12.2010 um 16:20:03 Uhr
Goto Top
Das mit der SAM löschen, war nicht ernst gemeint.
Die Idee mit der Bootreihenfolge ist mir noch gar nicht eingefallen.
Merci.

Schönes Neues.
O-Marc
O-Marc 21.12.2010 um 16:25:19 Uhr
Goto Top
@ TimoBeil: Mein Beitrag war auf die Aussage von dog bezogen, ein BIOS-Passwort würde auch das Booten von CD deaktivieren. Was also ist daran überflüssig?
71939
71939 21.12.2010 um 16:28:05 Uhr
Goto Top
Hallo,

also ich bin eigentlich kein Freund von Lynchjustiz, aber Adminkennwörter zurücksetzen ist für mich ein Abmahngrund. Ich bin kein Jurist und weiß nicht ob man hier ohne Betriebsvereinbarung mit einer Abmahnung durchkommt. Aber wer so etwas tut weiß daß es verboten ist, schließlich will er was erreichen was er ja nicht soll. Sonst wären die Passwörter jedem bekannt.

Technisch ist ja eigentlich schon alles gesagt.

Klaus
maretz
maretz 21.12.2010 um 16:28:32 Uhr
Goto Top
dazu mal gucken ob du rausfindest wann und von wem das gemacht wurde und demjenigen den Stiefel bis zu den Mandeln schieben. Sollte ja idR. kein Problem darstellen ;)
LordGurke
LordGurke 21.12.2010 um 18:41:45 Uhr
Goto Top
Ist der Ausbau von optischen Laufwerken eventuell noch eine Option?
Neben Bootreihenfolge ändern und booten von CD deaktivieren gibt es ja noch unter Windows die Option, dass man den Administrator per lokaler Gruppenrichtlinie umbennen kann.
Wenn das passiert ist, scheitern viele Tools daran, die Kennwörter zurückzusetzen. Und wenn du dann noch einen Benutzer mit Gastrechten hinzufügst und ihn "Administrator" nennst, kennt die Schadenfreude keine Grenzen mehr face-big-smile
Biber
Biber 21.12.2010 um 18:45:03 Uhr
Goto Top
Ist hinreichend beantwortet.

back-to-top### Geschlossen ###


Bevor hier noch ein paar spontane Kommentare nachtröpfeln...

@user-mit-dem-unsäglichen-Nick
Wie war denn denn deine Erwartungshaltung bei einer Anmeldung mit diesem Nicknamen
und einer beigefügten Frage "Wie kann ich schlauer sein als meine Möchtegern-Poweruser?"

Nimm doch nächstes Mal einen unverfänglichen Nick wie "Flamewarrior" oder "Firebug".

Grüße
Biber

P.S. @Maxi
..gibt es ja noch unter Windows die Option, dass man den Administrator per lokaler Gruppenrichtlinie umbennen kann.
Nein, diese Option gibt es hier nicht... "umbennen" wollten wir doch bitte nicht mehr machen in diesem Forum und in diesem Leben, hmm??