---

Vi har en administrator account til vores domain. Vi har, af sikkerhedsmæssige hensyn, prøvet at omdøbe kontoen, men det giver mange fejl logins og services hvor login skal ændres. Derfor vil vi gerne bibeholde administrator kontoen, men ønsker kun at gøre den tilgængelig fra det interne netværk og så oprette en ny konto hvor vi hyppigt kan ændre password.

Er det muligt kun at tillade adgang til administrator account fra det interne netværk ? Hvordan gøres det ... ?

På forhånd tak.

Mvh
Jesper Frier

---

Jeg ved ikke (tvivler på) at det kan lade sig gøre....
En mulighed ville være at sætte ACL-lister op i routeren/regler i firewall'en så der ikke kan connectes til serveren (serverens ip-adresse) udefra.....

Det kommer også lidt an på om i har behov for at få gæster ind, jeg tænker her på om i kører med web/ftp-server eller andre services

---

Hej Jesper,


der er her en side er foreslår noget med sikkerhed omkring "NT administrator account"... -->
http://is-it-true.org/nt/atips/atips40.shtml
det vigtigste du ska' tænke på er Passwordet, idet alle objecter i NT har ID nummere, så det hjælper ikke ret meget at bare ændre Account navnet...
de foreslår også at sætte "password lockout" policy'en til 3-5 fejlslagne forsøg... men læst den igennem de kommer med go' information samt tips omkring det...
de linker bl.a. til dette tips... "Enforce strong passwords"... -->
http://is-it-true.org/nt/atips/atips93.shtml
en af linksne dette tip linker til har fået ændret sin adresse, hvorfor jeg lige nbævner den her... "Implementing Guidelines for Strong Passwords"... -->
http://www.microsoft.com/ntserver/techresources/security/password.asp

der er også en artikel her fra Microsoft... "How to Change Windows NT Account Passwords Using Internet Information Server (IIS) 4.0" -->
http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q184619&

men det vigtigste er et godt Password... og en go' firewall...

mvh.

Strarup

---

Hej igen,

jeg glemte denne her, som også har noget nyttigt information... "The Unofficial NT Hack FAQ"...
http://www.nmrc.org/faqs/nt/nt_sec02.html

ellers sku' det være muligt at fjerne Netværks Access for alle brugere, ved at åbne "user Manageren", og her vælge "policies" og derefter "user rights" menuen, fjerne "Access this computer from the network"... men det er jo nok lidt drastisk...

men ellers ka' du gøre det noget svære for dem der evt. prøver at bryde ind ved at gøre følgende...

opret en ny Administrator Account... derefter kopier du alt fra den Defaulte Admistrator Account... dvs. alle policies og permissions m.v...
herefter sletter du så alt fra den oprindelige Administrator Account... idet den så stadigvæk eksistere, men man ka' bare ikke bruge den til noget... og så ka' vedkomne der prøver at bryde ind i systemet bruge en del tid på at slås med det...

du ska' forresten også huske kun at bruge NTFS, hvis du vil være på den sikre side... idet Fat ikke er særlig sikkert og ikke har samme sikkerheds muligheder...

men der er her også et par gode sider på dansk... "Gennemtving sikkert valg af password"... -->
http://www.bufferzone.dk/Vidensbank/password.htm
der bl.a. også har et link til "Gode råd om valg af password"...

de har her også en side der omhandler "Sikker opsætning af IIS"... -->
http://www.bufferzone.dk/Vidensbank/sikkerwebserver.htm
den vil jeg anbefale dig at læse rigtig godt igennem...


jeg har også taget den side med selvom den er til Win 2000... "Sikring af Windows 2000: Første skridt "... -->
http://hjem.get2net.dk/nicosan/
i det der ka' drages visse paralleler til NT...

mvh.

Strarup

---

jeg fandt lige dette på microsoft:

Stay Secure

After installing the latest service packs and security rollups, you can use the Microsoft Baseline Security Analyzer http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/Tools/MBSAhome.asp to check your desktop and server systems for common misconfigurations that affect security, and for the absence of additional patches that eliminate security vulnerabilities. After downloading the tool, please view the readme.txt file before running the tool on your systems. The tool checks for needed security patches by referring to an XML database that's constantly updated by Microsoft.

---

Hej Strarup,
jeg læste artiklen vedr. passprop.exe og har nu installeret den på min DC, i håb om at en locked out administrator konto stadig kunne benyttes internt på netværket. Men det er desværre ikke tilfældet så jeg har "kun" opnået at administrator kontoen nu følger mine generelle policies og nu bliver locked out efter 3 forsøg (det er også langt bedre end før). Men jeg har altså stadig problemet med at håndtere hyppige ændringer af password for administrator kontoen (eller en omdøbt konto med disse rettigheder) hvis den ikke kan beskyttes fra ekstern adgang ...

mvh.
Jesper

---

Tak for svaret e.p..

Det var ikke lige det jeg var ude efter - MEN det program er da et utroligt fedt værktøj ! Jeg har tidligere benyttet HFnetchk, men dette er meget bedre ...

Tak

Jesper Frier                        

---

Det er rart at kunne hjælpe....

Tak for point...

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.