Sollte ich in Windows 2008 das Administratorkonto umbenennen oder deaktivieren?

7

Sollte ich in Windows 2008 (und R2) das Administratorkonto umbenennen oder deaktivieren und ein neues erstellen?

Wird das Deaktivieren des integrierten Administratorkontos zu Problemen führen. Wird dies immer noch als bewährte Methode angesehen?

windows windows-server-2008 security Kev
quelle

Antworten:

2

Es ist üblich, das Konto einfach umzubenennen.

user48838
quelle
1
Durch das Umbenennen werden die Anmeldeattribute aus den Standardeinstellungen der Installation geändert, die eigentlichen Sicherheitseigenschaften des Kontos (z. B. nicht offen gelegte Attribute) werden jedoch nicht geändert. Daher ist das Umbenennen vorzuziehen und sicherer als das Löschen und Neuerstellen. Johnnie Odoms Aussage "Umbenennen macht es aus Sicherheitsgründen im Grunde genommen zu einem anderen Konto." ist technisch nicht korrekt, aber seine Gesamtposition ist.
user48838
Um meine Antwort zu verdeutlichen: Ich habe nicht gemeint, dass das Umbenennen die Sicherheitsfunktionen vom Standpunkt des Systems aus ändert, sondern aus der Sicht einer Sicherheitsmentalität - dh das Umbenennen eliminiert einen Kommentarangriffsvektor. Mein Hinweis, dass das Konto bereits "gut konfiguriert" wurde, zeigt an, dass sich die Art des Kontos nicht ändert.
Johnnie Odom
Ich möchte nur auf eine verwirrende, vielleicht irreführende Aussage hinweisen. Der Ansatz ist solide und wurde anerkannt.
user48838
1
@johnnie @ user48838 - Mein Anliegen war, dass das Administratorkonto immer dieselbe SID verwendet und dass dies als Teil eines Angriffs verwendet werden kann, um einen Computer zu gefährden, anstatt den Kontonamen zu verwenden. Ich bin mir bewusst, dass lokale Administrator-SIDs immer mit beginnen S-1-5-und damit enden, -500aber die drei verbleibenden Teile der SID sind groß genug und zufällig genug, dass ich sie gerne nachts umbenennen und bequem schlafen kann.
Kev
12

Microsoft Best Practices für TechNet und MS Press "Sichern von Windows Server 2008 R2"

 1. Benennen Sie es nicht um.

Sie verschwenden Ihre Mühe und (aus Gründen der Abwärtskompatibilität) werden Apps / Dienste in Ihrem Netzwerk, für deren Funktion das Administratorkonto erforderlich ist, beschädigt.

 2. Deaktivieren Sie BUILTIN \ Administrator.

Das Umbenennen des Kontos, um einen Honigtopf für Angreifer zu erstellen, ist eine veraltete Praxis. Jeder Cracker, der gut genug ist, um so weit in Ihr Netzwerk zu gelangen, kennt diesen Trick bereits. Der Cracker sucht nur nach der SID, die mit -500 endet.

 3. Erstellen Sie ein Konto mit einem unbeschreiblichen Namen und erteilen Sie ihm Administratorrechte.

Nennen Sie das Konto "JohnBlack" oder "BettyClark". Nennen Sie dem Konto keinen Namen wie Superman, Root, Skywalker oder etwas mit Admin oder ADM wie testadm oder LocalAdmin. Programme, die das Administratorkonto noch nach Namen suchen, haben sich so weit entwickelt, dass sie auch nach diesen Namen suchen können.

 4. Nachdem Sie das Konto in Schritt 3 erstellt haben, verwenden Sie es NIEMALS!

Sie können den Administratorzugriff nicht überwachen, wenn Sie ihn als reguläres Konto verwenden (abgesehen von allen anderen Gründen, ihn nicht zu verwenden).

Wirbeltorres
quelle
Deaktivieren Sie es einfach und verwenden Sie zwischengespeicherte Anmeldeinformationen, wenn die Domänenkonnektivität nach Süden geht.
Tony Roth
2

Das Umbenennen des Kontos ist die beste Wahl, da Sie ein lokales Administratorkonto benötigen und das mitgelieferte Konto bereits für die Ausführung des Systems eingerichtet und konfiguriert wurde. Durch das Umbenennen wird es aus Sicherheitsgründen in ein anderes Konto umgewandelt.

Johnnie Odom
quelle
-1 für technisch nicht korrekt - siehe den Kommentar von user48838 für weitere Details.
Josh Brower
Siehe meinen Kommentar zum Kommentar von user48838.
Johnnie Odom
2
Es ändert den Namen, aber nicht die SID, daher bin ich mir nicht sicher, ob es ein echter Gewinn ist. Die Alternative besteht darin, das Administratorkonto umzubenennen und zu deaktivieren und das Gastkonto dann in "Administrator" umzubenennen.
Steven Sudit
Einige Leute wie Steven Sudits Ansatz, "dumme Wanabes" zu fangen ... Es entsteht ein kleiner "Honigtopf", der zu Idioten führen kann, die glauben, dass sie etwas Sinnvolles "weghacken".
user48838
@Steven - Wie ich oben sagte, ist mir bewusst, dass lokale Administrator-SIDs immer mit S-1-5- beginnen und mit -500 enden, aber die drei verbleibenden Teile der SID sind groß genug und zufällig genug, dass ich glücklich bin nachts umbenennen und bequem schlafen.
Kev
0

Ich bin auf beide Empfehlungen gestoßen. In meinem letzten Job haben wir lokale Administratorkonten auf Computern deaktiviert, die sich in der Active Directory-Domäne befanden.

Ich würde persönlich empfehlen, es zu deaktivieren und ein neues Administrator-Benutzerkonto zu erstellen. Auf diese Weise haben Sie bei Problemen mit dem Benutzerprofil immer noch ein Administratorkonto, auf das Sie zurückgreifen können.

chunkyb2002
quelle
1
Angenommen, Sie können wieder einsteigen, um es wieder zu aktivieren ...
user48838
1
Sehr wahr, aber es gibt kostenlose Tools vom Typ Bootdiskette, mit denen Sie sie wieder aktivieren können.
Chunkyb2002
Würden Sie dadurch nicht wieder in das möglicherweise fehlerhafte "Administrator" -Konto oder das deaktivierte Konto gelangen?
Benutzer48838
Mit dem Tool, mit dem ich am besten vertraut bin (Windows Key Pro von Passware), können Sie ein beliebiges Konto auf den Systemen auswählen, um das Kennwort zu aktivieren und zurückzusetzen. Es gibt eine Reihe kostenloser Apps mit ähnlichen Funktionen.
Chunkyb2002
msdart hackt das Passwort einwandfrei. Deaktivieren Sie einfach die Anmeldeinformationen und speichern Sie sie im Cache.
Tony Roth