Hallo zusammen, das hier ist genau genommen kein Artikel wie ein Problem gelöst werden kann. Vielmehr soll es darum gehen wie ein Problem erst gar nicht entsteht, konkret geht es um einen potenziellen Angriffsvektor der nur zu gerne übersehen und vergessen wird – der lokale Admin!

Installiert man einen Windows Server neu, dann muss im Verlauf des Setups das Admin Passwort vergeben werden … der sich immer in Eile befindliche Admin (Installateur) verwendet hier gerne mal etwas Einfaches wie admin, 1234, … und vergisst nachdem der Server in die Domäne integriert wurde den lokalen Admin zu ändern oder zu deaktivieren. Bei Windows 10, also mit dem Client verhält es sich nicht viel anders, hier muss ein Benutzer angelegt werden und fällt die Wahl auf admin/admin dann ist hier ebenfalls ein Angriffsvektor vorhanden.

Erfolgt dann eine Exposition des Servers per RDP ins Internet, steht der lokale Administrator mit seinem trivialen Passwort eine leichte Aufgabe für Hacker dar.

Darum an dieser Stelle der Rat, ein schwieriges Passwort zu verwenden und im Nachgang den lokalen Administrator zu deaktivieren. Sollte ein lokaler Administrator zwingend benötigt werden, dann lege ich immer einen weiteren Admin, der dann auch nicht Administrator sondern irgendwie anders heißt.

Das sieht dann wie oben aus.

Enjoy it, b!