Administratorpasswort ändern - die Konsequenzen
Bingham@discussions.microsoft.com JJ Bingham
unser IT-Admin hat uns verlassen, die undokumentierte IT ist hiergeblieben...
Um ihm den Zugriff auf unsere Systeme so schnell wie möglich (Zugriff von
aussen) zu verwehren müssen wir das Adminpasswort zu schnell wie möglich
ändern.
Leider ist nicht weiter dokumentiert welche Dienste (backup, sql, etc) er
mit eigenem User versehen hat und welche weiter unter dem Admin laufe. Daher
habe wir bammel das PW so einfach zu ändern.
Gibt es Probleme wenn wir das PW jetzt ändern und sehen Dienst XY läuft
nicht mehr, daß wir das Admin-PW wieder auf das ursprüngliche zurücksetzen?
Gibt es Programme die herausfinden, welche Dienste, Programme sich auf einen
Benutzernamen stützen?
Gruß und Dank im voraus JJ
Stefan Zivkovic
"JJ Bingham" <JJ Bin...@discussions.microsoft.com> schrieb im Newsbeitrag
news:2C4E9FC6-4A76-4FED...@microsoft.com...
Start -> Ausführen -> services.msc
In der Spalte 'Anmelden als' steht, unter welchem Account die Dienste
laufen.
--
Stefan Zivkovic
Norbert Fehlauer [MVP]
Hi,
> unser IT-Admin hat uns verlassen, die undokumentierte IT ist
> hiergeblieben...
Super :(
> Um ihm den Zugriff auf unsere Systeme so schnell wie möglich (Zugriff
> von aussen) zu verwehren müssen wir das Adminpasswort zu schnell wie
> möglich ändern.
Richtig.
> Leider ist nicht weiter dokumentiert welche Dienste (backup, sql,
> etc) er mit eigenem User versehen hat und welche weiter unter dem
> Admin laufe. Daher habe wir bammel das PW so einfach zu ändern.
Es gibt im MOM ein Tool zum Passwort ändern. Dieses hat auch nen Whatif
Schalter drin soweit ich mich erinnere. Mit diesem Tool kannst du alles was
unter diesem Adminaccount läuft ändern. Also auch IIS Seiten oder Geplante
Tasks. Du mußt im Übrigen auch dafür sorgen, dass nicht nur das
Adminkennwort geändert wird, sondern jeder Account, der Administrative
Rechte hat und in dessen Besitz der Admin gewesen ist. Also auch falls
vorhanden das Backupkonto ändern.
> Gibt es Probleme wenn wir das PW jetzt ändern und sehen Dienst XY
> läuft nicht mehr, daß wir das Admin-PW wieder auf das ursprüngliche
> zurücksetzen?
Ja das geht. Prüfe nicht nur Dienste sondern wie oben genannt auch geplante
Tasks.
> Gibt es Programme die herausfinden, welche Dienste, Programme sich
> auf einen Benutzernamen stützen?
Siehe oben. Im MOM Resource Kit.
Bye
Norbert
JJ Bingham
vielen Dank erstmal! Das hilft erstmal weiter, aber magst Du das "Du mußt im
Übrigen auch dafür sorgen, dass nicht nur das Adminkennwort geändert wird,
sondern jeder Account, der Administrative Rechte hat und in dessen Besitz der
Admin gewesen ist. Also auch falls vorhanden das Backupkonto ändern."
nocheinmal näher erklären? Danke
Gruß JJ
Nils Kaczenski [MVP]
JJ Bingham schrieb:
> Leider ist nicht weiter dokumentiert welche Dienste (backup, sql, etc) er
> mit eigenem User versehen hat und welche weiter unter dem Admin laufe.
http://www.kaczenski.de/2006/12/05/ita-122006-katalog-der-dienste/
Auf der Webseite der Zeitschrift gibt es das nötige Skript auch als
Download.
Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski
Jaksa Skelin
> Um ihm den Zugriff auf unsere Systeme so schnell wie möglich (Zugriff von
> aussen) zu verwehren müssen wir das Adminpasswort zu schnell wie möglich
> ändern.
das ist soweit OK, aber bist Du sicher dass der Ex-Admin keinen "Backup
Admin" eingerichtet hat? Konsequenterweise müsstest Du ALLE User, die
irgendwelche erweiterte Rechte haben zurücksetzen. Wie sieht es aus mit
sonstiger Backdoor Software? Wie sicherheitsrelevant ist das Ganze? Kannst
Du alle VPN Accounts zurücksetzen?
Ich würde mich nicht nur auf das Admin Passwort versteifen. Genügend
Know-how und krimineller Energie vorausgesetzt könnte das Ganze noch paar
Haken mehr haben.
Gruß,
Jaksa
Thomas Wildgruber
> vielen Dank erstmal! Das hilft erstmal weiter, aber magst Du das "Du mußt im
> Übrigen auch dafür sorgen, dass nicht nur das Adminkennwort geändert wird,
> sondern jeder Account, der Administrative Rechte hat und in dessen Besitz der
> Admin gewesen ist. Also auch falls vorhanden das Backupkonto ändern."
> nocheinmal näher erklären? Danke
Schau im AD in der Gruppe der Domänen-Administratoren, welche Mitglieder
diese hat. Die User bzw. Gruppen die dort als Mitglieder eingetragen sind,
haben alle vollen Zugriff auf die Domäne.
Hier finden sich idR dann auch die Systemkontos für Exchange, Backup,
SQL-Server etc.
Bye Tom
--
Francesco Totti
(auf die Frage eines Journalisten, was er als echter Römer von dem Motto
"Carpe diem" halte) "Was soll der Scheiß, ich kann kein Englisch."
Norbert Fehlauer [MVP]
Hi,
> das Backupkonto ändern." nocheinmal näher erklären? Danke
Nö. Was genau verstehst du daran nicht? Meinst du als Admin hat man nur ein
Konto? Also ich kenne immer mindestens zwei Accounts falls ich das mal
benötige.
Bye
Norbert
JJ Bingham
Thomas!
Norbert Fehlauer [MVP]
Hi,
> Schau im AD in der Gruppe der Domänen-Administratoren,
Und auch in die der Administratoren. Zusätzlich natürlich auch auf
Gruppenschachtelung achten.
Bye
Norbert
Norbert Fehlauer [MVP]
> danke norbert, aber das hat dann wohl auch thomas verständlich
> gemacht. Danke Thomas!
Bitte. Und das nächste Mal ohne TOFU-Posting.
Bye
Norbert
JJ Bingham
danke für die Hinweise, die sind sehr wichtig. Aber wir sind gerade erst
dabei uns einen Überblick zu verschaffen. Danke, dass Du unseren Horizont
gerade erweiterst hast.
Thomas Wildgruber
>> Schau im AD in der Gruppe der Domänen-Administratoren,
>
> Und auch in die der Administratoren. Zusätzlich natürlich auch auf
> Gruppenschachtelung achten.
Jupp, der OP hat noch einiges vor sich, wenn man da so länger drüber
nachdenkt ;-)
@OP: Als /high-risk/ würde ich alles einordnen, für das *kein* Zugang zum
Haus nötig ist. Bei /low-risk/ würde ich den physikalischen Zugang als
erforderlich ansehen und hätte für mich bei den Sofortmassnahmen eine
untergeordnete Priorität.
Da fallen mir so ganz spontan noch die Passphrasen der WLAN APs ein
(high-risk). Die Passwörter der managed Switches (low-risk). Besonderes
Augenmerk ist vor allem auf das Internetgateway zu richten (Ist Telnet oder
SSH von extern zugelassen? -> high-risk). Auch den outbound Filter der
Firewall würde ich auf suspekte Portfreigaben überprüfen (Trojaner etc. ->
high-risk), ebenso ob inbound irgendwelche verdächtigen Portforwardings
konfiguriert sind (high-risk). Auch wäre in meinen Augen das Logging des
Internetgateways zu überprüfen.
Auch evtl. die HBCI Disketten der Buchhaltung könnten gefährlich werden,
wobei ich da jetzt auch keinen rechten Tipp parat habe. BTW: Könnte man die
Banken anweisen, nur noch Transaktionen von einer bestimmten IP entgegen zu
nehmen, wenn man feste hat?
Puh, wenn ich da so im Geiste unsere Infrastruktur durchgehe, kommen da
immer mehr Ecken auf, wo ich als Admin meine Finger drin habe. Aber so
schlimm wird es hoffentlich nicht kommen aber man sollte sich schon
Gedanken über ein worst case Szenarion machen ;-)
Bye Tom und in diesem Sinne...
--
"Manches Gewissen ist nur rein, weil es nie benutzt wurde" (Robert Lembke)
Norbert Fehlauer [MVP]
Hi,
> Jupp, der OP hat noch einiges vor sich, wenn man da so länger drüber
> nachdenkt ;-)
Ja, sonst wär das ja easy ;)
Bye
Norbert
--
Dilbert's words of wisdom #10: I don't have an attitude problem. You
have a perception problem.