Admin user deaktivieren, brute force, 2FA

[EmilSpeicher]

in den tipps zur sicherheit wird ja immer empfohlen den "admin" zu deaktivieren u einen eigenen admin user unter eig namen anzulegen um brute force Angriffen vorzubeugen.

ich habe das gemacht, aber keine lust zb meine notizen alle neu im neuen user anzulegen.

daher wollte ich fragen ob das brute force risiko bei 2FA immer noch besteht od ob ich den admin user nicht einfach belassen kann?

dazu noch eine frage:
ich habe 2FA aktiviert (muss am handy bestätigen per klick, also ohne otp), trotzdem wird das angezeigt. wisst ihr warum?

 

[Thonav]

Es macht einfach keinen Sinn einen Administrator für die täglichen Arbeiten zu nutzen. Der sollte (im Übrigen auch unter Windows) nur für die "administrativen" Aufgaben genutzt werden. Ich würde an Deiner Stelle in den sauren Apfel beissen und das einmal für alle Ewigkeiten vernünftig einrichten...
Just my 50 cent...

 

[ottosykora]

ich denke auch der Brute Force Aspekt bei dem admin ist eher etwas theoretisches, ja ganz sicher, und mit all den 2fa oder was auch immer ist das weniger ein eigentliches Sicherheitsproblem. Aber die Problematik liegt eher drin, dass ein Mitglied der Administratoren Gruppe (egal wie er heisst) eben viel Schaden anrichten kann, auch nicht absichtlich, einfach nur weil er Rechte praktisch für alles hat. Klick und alles ist gelöscht oder so was.
Eher aus diesem Grund wird geraten mit einem nicht Mitglied der Administratoren zu arbeiten.

 

[Thonav]

Ergänzend noch eins - die meisten Angriffe auf Deine Daten werden nicht an Deine DS richten - das ist alleine schon durch eine Blocklist beschränkt auf 2 Versuche fast auszuschließen - sie werden per email, Schadsoftware auf Deinen Rechner (gehe davon aus, dass Du dort auch als Administrator agierst) eingeschleust und verrichten dann ihr Übel eben auch auf die Netzlaufwerke (die Zugangsdaten haben die meisten ebenfalls in den Netzkennwörtern gespeichert) über. Dann geht die Luzi ab - vollen Admin-Zugriff auf alles. Da nützt Dir Deine 2 FA auch nichts. Von daher nochmals, leg Dir einen administrativen Benutzer an, der NUR über den Browser die DSM einrichtet, für ALLES andere nutze lieber einen User, der Rechte für das hat was er braucht - gleiches gilt für Frau und Familie...
Grüüüüße!

 

[Synchrotron]

Das mit dem „admin“ ist doch nun nicht schwer zu verstehen: Man legt einen an, der deutlich anders heißt - schon muss unser geneigter Hacker 2 Dinge erraten. Und er weiß nie, ob er jetzt den User richtig hat, und nur das PW finden muss. Macht also einfach Sinn, und ist wirklich einfachst umzusetzen.

2FA mache ich mit SecureSignIn - klappt gut.

Ansonsten kannst du dir einfach überlegen, was du als bequem empfindest. Und Bingo, schon hast du eine schöne Auswahl deiner Sicherheitsprobleme. Nicht alle, aber viele, und genug, um dich einige Zeit mit Optimierung zu befassen.

 

[Benie]

Ich sags mal kurz. Erst hinterher ist man immer schlauer,
und das geheule ist umso größer, wenn es einen dann doch erwischt hat.

 

[EmilSpeicher]

danke für eure antworten.

kurz zur erklärung:

ich habe sowohl auf der NAS als auch auf windows 2 nicht-admin user (ich + frau), die ich auch nutze (va auf windows nutze ich den admin so gut wie nie).
auf der NAS richte ich momentan viel ein, deshalb nutze ich jetzt verstärkt den admin-user, daher kam die frage auf.
ich rufe bspw meinen ordner auf der NAS nur via nicht-admin user ab, es gibt keien admin-verbindung zw meinem PC u meinen ordner die auf der NAS liegen.
wird der PC infiziert, kann der virus nur mit einem user account auf die daten auf der NAS zugreifen.

aber ich verstehe euren zugang: syn note u photos habt ihr bei nicht-admin unsern eingerichtet u ruft diese logischerweise auch mit nicht-admin usern via handy ab.
das stimmt, das habe ich bis dato als admin gemacht. ist eigentlich unsinn, wenn ich drüber nachdenke.
werde ich ändern, arbeite schließlich auch auf windows ohne admin-user.

ich glaube das ist die quintessenz eurer antworten, wenn ich das richtig verstanden habe?

 

[Synchrotron]

Es sollte für alles, was nicht Systemeingriff heißt (oder aus anderen Gründen einen Admin erzwingt) ein normaler User angelegt und benutzt werden.

Für regelmäßige Jobs, die eine bestimmte Aufgabe erledigen, und sonst nichts, lege ich weitere eigene User an, die nur genau auf diesen Zugriff zugeschnittene Rechte haben. Um mir das zu erleichtern, habe ich z.B. eine Benutzergruppe Backup-User angelegt. Die haben die Rechte, die sie für ein Backup benötigen. Pro Gerät gibt es dann einen eigenen User in dieser Gruppe, und der hat nur Zugriff auf seine Ressourcen - zum Beispiel Ordner. Damit kann ein Backup-User nicht auf andere Backups zugreifen, nur auf seine eigenen.

Die werden dann noch mal per ABfB auf meine Backup-DS gesichert, so dass selbst ein kompromittierter Backup-User das zweite Backup nicht erreichen kann. Overkill ? Vielleicht. Aber 1x angelegt läuft das streßfrei durch.

Upload-User für bestimmte Aufgaben wie Fotos, oder Streaming-User für die Medienbereitstellung kann man ähnlich handhaben. Wenn man sich Arbeit sparen will, zeichnet man sich das vorher mal auf, und stellt fest, wo sich sinnvolle Gruppen bilden lassen.

Persönliche Erfahrung, als Diskussionsbeitrag.

 

[EmilSpeicher]

Es sollte für alles, was nicht Systemeingriff heißt (oder aus anderen Gründen einen Admin erzwingt) ein normaler User angelegt und benutzt werden.

Für regelmäßige Jobs, die eine bestimmte Aufgabe erledigen, und sonst nichts, lege ich weitere eigene User an, die nur genau auf diesen Zugriff zugeschnittene Rechte haben. Um mir das zu erleichtern, habe ich z.B. eine Benutzergruppe Backup-User angelegt. Die haben die Rechte, die sie für ein Backup benötigen. Pro Gerät gibt es dann einen eigenen User in dieser Gruppe, und der hat nur Zugriff auf seine Ressourcen - zum Beispiel Ordner. Damit kann ein Backup-User nicht auf andere Backups zugreifen, nur auf seine eigenen.

Die werden dann noch mal per ABfB auf meine Backup-DS gesichert, so dass selbst ein kompromittierter Backup-User das zweite Backup nicht erreichen kann. Overkill ? Vielleicht. Aber 1x angelegt läuft das streßfrei durch.

Upload-User für bestimmte Aufgaben wie Fotos, oder Streaming-User für die Medienbereitstellung kann man ähnlich handhaben. Wenn man sich Arbeit sparen will, zeichnet man sich das vorher mal auf, und stellt fest, wo sich sinnvolle Gruppen bilden lassen.

Persönliche Erfahrung, als Diskussionsbeitrag.

cool, absolutes profi level.

mir persönlich ist das zuviel aufwand mit den mehreren unsern, aber ich verstehe die denkweise.

aber was ich sofort machen werde:

- admin user deaktivieren u anders benannten admin anlegen
- alle meine apps (fotos, note) nur noch über meine nicht-admin user laufen lassen (wie ich es ja schon unter windows mache, bei NAS hab ich blöderweise nie dran gedacht, warum auch immer)

 

[the other]

Moinsen,
wenn das einmalig gemacht ist (eigenen Adminuser, eigenen user, zusätzlich backup user wie oben vorgeschlagen) und ein paar Tage/Wochen, je nach innerem Schweinehundpotential, konsequent so genutzt wird, dann ist es easy und nicht so aufwändig wie anfangs vermutet.
Über den admin account läuft hier gar keine Anwendung, kein Calendar, NoteStation, Contacts oder sonstwas. Der hat ganz andere Aufgaben...
Alles Anwendungen laufen via normalem user account. Abgelegt wird im /home Ordner so gut wie nix, ist hier nicht nötig.
Der backup user macht genau das: backups anlegen und verwalten. Andere normal user haben damit keinen Zugriff auf die backup Daten, ein kleiner Schritt für mehr Sicherheit.
Meine mobilen Geräte etwa haben auch eigenen Accounts, sind in ihrer eigenen Gruppe und haben somit auch nur begrenzte Rechte auf den Ordnerzugriff. Ist alles schnell eingerichtet, erfordert zu Beginn etwas Disziplin...lohnt aber immens.

 

[EmilSpeicher]

hmmmmm...ja vielleicht mach den backup user doch noch....macht schon sinn.

damit ich s richtig verstehe:

- nur der user "backup" kriegt lese schreibe rechte beim hyper backup.

alle anderen user, inklusive admin, haben keien rechte beim hyperbackup?

aber:
wo stellt ihr das ein?
ich habe nur das active backup angezeigt aber nicht das hyper backup:

 

[Thonav]

Falsch - Der Backup-User bekommt das Recht Hyper Backup nutzen zu dürfen UND das Recht von Deinen zu sichernden Ordnern lesen zu dürfen.
UND eins noch - das Backupziel liegt NICHT auf Deiner DS, sondern auf einer USB-Platte oder/und einer 2. NAS.

 

[Monacum]

Das ist eine Übersicht mit Ordnern, Hyper Backup ist eine Applikation, das ist ein anderer Reiter.

Admins haben Zugriff auf alles.

 

[the other]

Moinsen,
Der admin account hat eh immer alle Rechte oder kann sie sich verschaffen...das ist ja das problem beim täglichen login unter diesem Konto für alltägliche Arbeiten...

Leg einen neuen freigegebenen Ordner an, gib Schreibzugriff nur für den Backup user, dann der Applikation hyper backup wie oben schon gesagt sagen, dass nur der backup user benutzen darf.
Und logo, backup nicht auf demselben Gerät aufbewahren...

 

[EmilSpeicher]

Falsch - Der Backup-User bekommt das Recht Hyper Backup nutzen zu dürfen UND das Recht von Deinen zu sichernden Ordnern lesen zu dürfen.
UND eins noch - das Backupziel liegt NICHT auf Deiner DS, sondern auf einer USB-Platte oder/und einer 2. NAS.

ja. in meinem fall auf einer 2ten nas. ich weiß.

 

[Thonav]

Falls die im gleichen Haus steht - sicher die wichtigsten Daten zusätzlich noch auf eine externe Platte, die Du im Falle eines Brandes, etc. auch in einer Reisetasche mitnehmen kannst. Oder im Banksafe lagerst...

 

[Thonav]

...Um mir das zu erleichtern, habe ich z.B. eine Benutzergruppe Backup-User angelegt. Die haben die Rechte, die sie für ein Backup benötigen.

Wie gibst Du einem Backup-User, der nicht der Administratorengruppe angehört, denn die Rechte Hyper Backup zu nutzen? Diese Paket können nach meinem Wissen nur User, die der Admin-Gruppe zugehören?!

 

[plang.pl]

Mit dem Hyper Backup Vault auf dem Remote NAS kann auch ein User ohne Adminrechte genutzt werden

 

[Thonav]

Ok, wie nutzt Du denn Vault? Das ist nur dazu geeignet, Backups anzunehmen... Gib mal testweise einem User das Recht und schau in der DSM was er damit machen kann...

 

[plang.pl]

Genau. Auf der Quell NAS mach ich das Backup einfach mit dem Admin-User. Dafür nochmal extra einen anzulegen erschien mir nicht sinnig.