Neue Admin-Konton erstellen

[Daigers]

Hallo,

ich habe letztens auf Anraten einer Synology-Anleitung (Link) zum Einrichten von mehr Sicherheit für den Zugriff von außen versucht, das werkseitig angelegte Admin-Konto zu spiegeln (s. Punkt 2). Hier sollte man ein neues Konto mit anderem Namen einrichten und diesem die gleichen Berechtigungen wie dem admin geben. Danach sollte das eigentliche admin-Konto, was ja von Anfang an vorhanden ist, deaktivieren. Das Ganze macht auch Sinn, da viele bei mir geblockte Anmeldeversuche von extern mit dem User admin durchgeführt wurden. Dem könnte man also so einen Riegel vorschieben.

Nun zu meinem Problem:
Der neu angelegte User mit Admin-Rechten funktionierte auch ohne Probleme und in allen Bereichen. Komischerweise war es mir aber nach Deaktivierung des admin-Account nicht mehr möglich, im LAN per Windows-Explorer auf meine DiskStation zuzugreifen. Sie wurde zwar noch in der Netzwerkumgebung angezeigt, aber beim Anklicken kam eine Meldung, daß ich keine Berechtigung habe. Es wurde auch keine Fenster eingeblendet, in dem ich meine Anmeldedaten hätte eingeben können. Somit wurden mir auch keine freigegebenen Ordner angezeigt. Erst nachdem ich den standardmässigen admin-Account wieder aktiviert hatte, ging auch der Zugriff über LAN wieder einwandfrei.

Da ich die von Synology vorgeschlagene Deaktivierung des admin-Users aus Sicherheitsgründen trotzdem gerne vornehmen möchte, frage ich mich, was ich bei einem neuen Account einstellen muß, damit ich weiterhin über das LAN auf meine DiskStation zugreifen kann.

Meine Daten:
Modell: DS110j
DSM-Version: 5.2-5644 Update 5
DSM-Datum: 18.02.2016

Ich würde mich freuen, wenn mir jemand helfen könnte. Wahrscheinlich ist es nur ein kleiner Haken. Aber wo???

Gruß
Daigers

 

[Puppetmaster]

Ich grätsche da mal gleich am Anfang der Argumetationskette ein.

Danach sollte das eigentliche admin-Konto, was ja von Anfang an vorhanden ist, deaktivieren. Das Ganze macht auch Sinn, da viele bei mir geblockte Anmeldeversuche von extern mit dem User admin durchgeführt wurden. Dem könnte man also so einen Riegel vorschieben.

Nein, das ändert gar nichts.
Ich weiß nicht, woher der Rat kommt, das admin Konto zu deaktivieren. In meinen Augen bringt das gar nichts.
Das A und O ist ein starkes Passwort.
Auch wenn dein admin in Zukunft "Müller" heißt, wirst du weiterhin Angriffe mit Benutzernamen wie "admin" blocken müssen.

Es ist einfach ein Trugschluss zu glauben, Benutzer "hgz336!7&" mit dem Passwort "aksd&13" sei sicherer als "admin" mit Passwort "hgz336!7&aksd&13".

 

[goetz]

Hallo,
Du hast Dich unter Windows als admin mit den gemeinsamen Ordnern verbunden und die zugangsdaten speichern lass. Unter Win
Systemsteuerung - Benutzerkonten - Anmeldeinformationsverwaltung. Dort solte ein Eintrag dür die DS vorhanden sein, diesen löschen und dann neu auf die DS zugreifen.

Gruß Götz

 

[heavy]

Herzlich willkommen im Forum

wenn du im Lan keine Anmeldetaten eingeben musst, dann sie die beim ersten Login damals gespeichert worden, oder dein Benutzername am PC ist identisch zu dem der DS. Schau mal in der systemsteuerung/ benutzerverwaltung / eigene anmeldedaten verwalten/ windows anmeldeinformationen (bei win 8.1 bei anderen musst du googlen wo sie sich befinden. Bei win 7 und früher hieß das auch noch xxxtresor ) und dort dann die gespeicherten zugangsdaten löschen. Oder was auch gehen sollte ist die freigabe mit der rechten maus anklicken und dann sagen mit anderen user daten anmelden, nur leider klappt das dann nicht immer

 

[P4ddy]

@ Puppetmaster

kannst du das näher erklären? für mein Verständnis denke ich versuchen viele "Hacker" erstmal "root", "admin" etc um sich irgendwo einzuloggen. ist dann das Passwort schwach, kommen sie (recht) zügig in die DS.
Aber ist der Name eben nicht "admin" müssen sie doch erstmal den herausfinden.

Oder habe ich einen Knick in der Denkweise?

Gruß
Patrick

 

[Puppetmaster]

Klar müsste man den Benutzernamen erst noch zusätzlich herausfinden. Aber du kannst auch einfach das Passwort des admins um diesen neuen hypothetischen Benutzernamen verlängern, dann ist es genauso unwahrscheinlich, dieses zu erraten.

Mathematisch ergibt sich die Sicherheit u.a. aus der Summe der Zeichen von Benutzername und Passwort. Beim 'admin' kennst du halt schon 5 Zeichen. Aber hängst du z.B. jetzt nochmal 6 Zeichen an das Passwort an, ist das min. so sicher, wie einen Benutzer 'Hans' mit demselben Passwort zu nutzen, wie es der admin hatte.

 

[Tommes]

Ich Vergleich das gerne mit meinem E-Mail Konto bei Web.de. Jeder der meine E-Mail Adresse kennt oder weiß, das es sich bei dieser um eine gültige E-Mail Adresse handelt besitzt bereits den Loginnamen zum System. Daher halte ich das mit dem ändern des Beutzernamen auch für nicht für sonderlich Sinnvoll. Ein starkes Passwort ist hier wirklich das A & O. Ebenso eine automatische Blockierung, ein paar Sinnvoll durchdachte Firewalleinstellungen und mit der ausreichenden Skepsis irgendwelche Dienste ins Internet zu stellen.

Ach und übrigens... das Passwort des "deaktivierten" Benutzerkontos "admin" ist immer noch gültig um sich so auf der Konsole der DS anzumelden. Witzig, oder?

Tommes

 

[Daigers]

Danke für die schnellen Antworten.

@Puppetmaster:
Ist mir schon klar, daß die Blocks trotzdem stattfinden. Und das Kennwort für den admin wäre ebenfalls sicher genug. Der Tipp kommt übrigens direkt von Synology (siehe Link in meinem ersten Post). Aber wie P4ddy ein paar Beiträge später schon bemerkt hat, muß ja der neue Benutzername erst "erraten" werden. "admin" ist ja schon bekannt, da ja werkseitig von Synology voreingerichtet. Also doch ein Schritt Sicherheit mehr.

@ goetz u. heavy:
Euren Tipp mit den gespeicherten Anmeldeinformationen werden ich mal ausprobieren. Aber es geht mir nicht darum, auf eine schon verbundene Freigabe mit einem Laufwerksbuchstaben zuzugreifen. Ich möchte über den Windows-Explorer (ich habe übrigens Win 7 Pro) im Bereich "Netzwerkumgebung" auf die dort angezeigte DiskStation zugreifen. Im Normalfall werden dann die freigegebenen Ordner angezeigt, die man sich dann mappen könnte. Aber soweit komme ich garnicht. Beim Klick auf die DiskStation kommt schon die Fehlermeldung. Es wurden also noch überhaupt keine Anmeldeinformationen eingegeben, die gelöscht werden könnten.

@P4ddy:
Genauso wie Du es beschrieben hast, soll es ja auch sein. Der "bekannte" User admin soll verschwinden und ein neuer Admin mit einem unbekannten Namen soll dessen Platz einnehmen. Diesen müssten die Hacker dann erst haben, denn ohne den geht garnichts.

Ob jetzt sinnvoll oder nicht. Grundsätzlich würde mich mal interessieren, warum ich über die Netzwerkumgebung auf die DiskStation inkl. aller Freigaben zugreifen kann, wenn der admin-User aktiviert ist. Ist aber der admin deaktiviert und nur der Alternativ-Admin mit den gleichen Berechtigung wieder der Standard-Admin aktiv, geht es nicht. Aber warum?

Gruß
Daigers

 

[Puppetmaster]

Also doch ein Schritt Sicherheit mehr.

Nein, ganz sicher nicht. Das ist ein mathematischer Fakt.

Ich weiß auch nicht, weshalb Synology das empfiehlt oder mal empfohlen hat. Es wäre aber sicher nicht der erste Unsinn, den sie verbreitet haben.

Du solltest auch Tommes' Einwand nicht unterschätzen: der admin bleibt für die Konsole, also SSH weiterhin aktiv. Wer es erst einmal hierher geschafft hat, der kümmert sich nicht um die bunte GUI. Den echten Schaden kannst du auf der Konsole anrichten.

 

[goetz]

Hallo,
bei den gespeicherten Anmeldeinformationen ist es egal ob man die Freigabe als Laufwerk verbunden hat oder man einfach über Explorer - Netzwerk geht, das ist von der Anmeldung das selbe. Dein PC versucht sich als admin anzumelden was scheitert wenn Du den im DSM deaktivierst.

Gruß Götz

 

[Frogman]

..., oder dein Benutzername am PC ist identisch zu dem der DS.

Ein identischer Benutzername allein reicht nicht - auch das verwendete Passwort des Windows-Accounts und dem auf der DS müssen identisch sein.