[sкavєи]

Hi,

da ich mal wieder dabei bin mir eine neue Windows-CD zu bauen und ich es mir angewöhnt habe sämtliche Standard-Benutzerkonten entweder zu löschen oder, wenn dies nicht möglich ist, sie zu sperren will ich das auch gleich mit einbauen. Nur weiß ich leider nicht wie.
Es geht darum das Konto "Administrator" zu sperren. Grundsätzlich kein Problem, aber wie realisiere ich das ganze auf Batch-Ebene. Benutzer zu löschen oder hinzu zu fügen ist ja kein Problem. Das geht ja einfach, über net user "%username%" "%password%" /add bzw. über net user "%username%" /delete. Aber wie kann ich Benutzerkonten halt deaktivieren, brauche ich da einen Registry-eingriff? Denn es geht scheinbar weder über net user noch über net accounts oder irre ich mich da?
Wäre schön wenn einer weiß wie's geht.

Grüße
TheSuicider

Dieser Beitrag wurde von TheSuicider bearbeitet: 19. Juli 2005 - 21:53

[silvesterkind]

Moin,

schonmal net user %username% /active:no probiert?
Und sonst: net user /help

so long
silvesterkind

[Urne]

Meinst Du, dass das Adminkonto nicht mehr auf dem Anmeldebildschirm zum einloggen angezeigt wird?

Dieser Beitrag wurde von Urne bearbeitet: 19. Juli 2005 - 22:13

[sкavєи]

@silvesterkind: Ach du Schei...! Ich habe bisher immer nur net user /? probiert da bekommt man ja nur sehr wenig Infos aber mit /help gibt er einem ja endlich mal alles aus. Da finde ich bestimmt was. Erstmal werde ich das mit dem /active:no probieren. Danke

@Urne: Nein ich will es komplett deaktivieren, aufgrund der davon ausgehenden Sicherheitsrisiken. Also halt so dass es nicht mehr verwendbar ist (ich würde es lieber löschen, aber das ist nicht möglich).

Genauso soll man ja auch nicht das Standard-Gast-Konto verwenden, da die Konto-Bezeichnungen standarisiert sind und daher zu leicht zu verwenden um sich Zugriff auf's System zu verschaffen.

Dieser Beitrag wurde von TheSuicider bearbeitet: 19. Juli 2005 - 22:22

[Urne]

Laut diesem hier kann man das wohl nur im abgesicherten Modus bei XP. Er hatte das Problem auch, aber andersrum.

[Rika]

Zitat

Nein ich will es komplett deaktivieren, aufgrund der davon ausgehenden Sicherheitsrisiken.

Welche denn?

Zitat

Genauso soll man ja auch nicht das Standard-Gast-Konto verwenden, da die Konto-Bezeichnungen standarisiert sind und daher zu leicht zu verwenden um sich Zugriff auf's System zu verschaffen.

Wenn du befürchten musst, daß ein Angreifer die Kontenbezeichnungen kennst, dann musst du insbesondere davon ausgehen, daß er auch die Kontentypen und die SIDs sowieso enumerieren kann. Damit ist das Versteckspiel sinnfrei.

Es gibt IMHO nur einen Grund, sie umzubenennen: Gewohntheit. Administrator ist bei mir root, und Gast ist nobody.

[sкavєи]

Ich hab's bei mir immer folgendermaßen ich habe einen Admin-Account welcher extra angelegt und mit einem mit sicherem Kennwort versehen wird. Zudem wird für jeden Client (im Normalfall ist das nur ein einziger Rechner) ein eigenes Gast-Konto festgelegt, welches den Anmeldeinformationen des Hauptbenutzers auf diesem Rechner entspricht und nur für den Zugriff von diesem einen Rechner zugelassen ist.
Alle anderen Konten werden gelöscht oder deaktiviert und dazu gehört eben auch das Administrator- und das Gast-Konto.

Ungefähr so sieht's dann aus:

NET USER "%Admin%" "%AdminPassword%" /ADD
NET USER "%Admin%" /FULLNAME:"%AdminFullname%"
NET USER "%Admin%" /HOMEDIRREQ:YES
NET USER "%Admin%" /PASSWORDREQ:YES
NET USER "%Admin%" /WORKSTATIONS:%AdminWorkstation%
NET LOCALGROUP Administratoren "%Admin%" /ADD
NET USER "%Guest%" "%GuestPassword%" /ADD
NET USER "%Guest%" /FULLNAME:"%GuestFullname%"
NET USER "%Guest%" /HOMEDIRREQ:NO
NET USER "%Guest%" /PASSWORDREQ:YES
NET USER "%Guest%" /WORKSTATIONS:%GuestWorkstation%
NET LOCALGROUP Gäste "%Guest%" /ADD
NET USER "Administrator" /ACTIVE:NO
NET USER "Gast" /ACTIVE:NO
NET ACCOUNTS /MAXPWAGE:UNLIMITED

Das ganze gibt mir auf jeden Fall ein besseres gefühl als pre-konfigurierte Benutzerkonten zu nutzen. Ob's wirklich was bringt oder nicht weiß ich nicht. aber zumindest schützt es vor Script-Kiddies auf LANs.

Dieser Beitrag wurde von TheSuicider bearbeitet: 19. Juli 2005 - 22:53

[DK2000]

Build-in Administrator und Gast lassen sich beide über die lokalen Richtlinen umbenennen und/oder abschalten:

Zitat

Ich hab's bei mir immer folgendermaßen ich habe einen Admin-Account welcher extra angelegt und mit einem mit sicherem Kennwort versehen wird

Wenn Du den Build-in Admin umbenennst und dem ein vernünftiges Passwort gibst, dann kommt das aufs Selbe raus.

[sкavєи]

@DK: Das stimmt schon aber kannst du mir sagen wie ich das per CMD mache?

[puppet]

Mit net user Administrator /active:no sollte es ohne Probleme gehen, allerdings verstehe ich _ernsthaft_ denn Sinn dahinter nicht. Bitte erkläre das mal genauer.

[sкavєи]

Der sinn dahinter ist ein wenig verzwickter:
1. Ich habe auf allen Rechnern im Haus die gleichen Benutzerkonten angelegt, nur eben mit verschiedenen Rechten. so hat mein Rechner zum Beispiel vollen zugriif auf den Rechner meiner mutter sowie auf den router und den selten laufenden File-Server. Meine Mutter hingegen hat nur Gast-Zugriff auf meinen Rechner und den File-Server und gar keinen Zugriff auf den Router aber Benutzerrechte auf ihrem eigenen Rechner. Der Router hat nur Gastzugriff auf alle Rechner und der File-Server ebenso.
2. Durch die einheitlichen Benutzerkonten und Kennwörter wird der Zugriff mit dem eigenen Konto ermöglicht ohne vorher Gastkontodaten eingeben zu müssen.
3. Die Gastkonten sind auf allen Rechnern deaktiviert um wie schon gesagt die standarisierten Benutzerkonten abzuschaffen da diese in meinen Augen eine Sicherheitslücke bilden (ob dem nun so ist oder nicht, ist mir relativ Wurscht. Wovor es meinen Rechner auf jeden Fall schützt ist, wie schon erwähnt, vor Scriptkiddies auf LANs.).
4. Ebenso das Standard-"Administrator"-Konto.
5. Die einheitlichen Benutzerkonten müssen unter anderem auch sein um zum Beispiel shutdown auf andere Rechner (Router / File-Server) ausführen zu können.

Ich denke man kann definitiv davon ausgehen, dass weniger Benutzerkonten mehr Sicherheit bedeuten. Ich würde sie ja auch umbenennen wenn mir jemand sagen kann, ob und wenn ja, wie ich das per cmd machen kann. Das hätte nämlich denselben Effekt.

Dieser Beitrag wurde von TheSuicider bearbeitet: 19. Juli 2005 - 23:37

[DK2000]

Zitat

@DK: Das stimmt schon aber kannst du mir sagen wie ich das per CMD mache?

Bei Windows XP Pro:

RenStdAcc.inf:

[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[System Access]
NewAdministratorName = "Wurstbraten"
NewGuestName = "Kakerlake"
EnableAdminAccount = 1
EnableGuestAccount = 0

Importiert wird das dann mit

Secedit.exe /configure /cfg %windir%\security\templates\RenStdAcc.inf /db %windir%\security\Database\secsetup.sdb /verbose

Kann man natürlich auch woanders speichern als in %windir%\security\templates\RenStdAcc.inf, aber da passt es gut rein.

Dieser Beitrag wurde von DK2000 bearbeitet: 20. Juli 2005 - 00:20

[puppet]

Zitat (TheSuicider: 20.07.2005, 00:35)

[...]Wovor es meinen Rechner auf jeden Fall schützt ist, wie schon erwähnt, vor Scriptkiddies auf LANs.)[...]

Genau das solltest du ja mal etwas genauer erklären. Wenn du deine Dienste schützen willst wieso nimmst du dann nicht IPsec? Das ist ja seit WinXP auch ohne Registrybearbeitung mit simplen PSKs möglich. Und per Skript kann man das ja auch schon mind. seit Win2k machen (wobei man dabei glaube noch ein Tool aus dem ResKit benötigt).

Admin- und Gast umbennen müsstest du mit einer Sicherheitsvorlage hinbekommen, und die kannst du ja dann über secedit auch per Skript importieren.
Edit: Ok der DK2000 war schneller

Dieser Beitrag wurde von puppet bearbeitet: 20. Juli 2005 - 00:09

[sкavєи]

@DK: Hm, ... geht das auch mit HomePro (Die Pro-gemachte Home-Version nach Anleitung der c't)?

Dieser Beitrag wurde von TheSuicider bearbeitet: 20. Juli 2005 - 00:10

[DK2000]

Du kannst fragen stellen

Musst Du mal versuchen ob das geht. Kann ich Dir jetzt nicht sagen. Aber wenn Secedit.exe vorhanden ist, dann müsste das gehen.