Sichereit des Admin Kontos

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
2FA = Zwei Faktor Authetifizierung

1) Man braucht min. einen Benutzer für die tägliche Arbeit mit der DS.
2) Einen Administrator benötigt man für Wartungsarbeiten an der DS (weil der Benutzer dazu nicht berechtigt ist -> Thema Sicherheit).
3) Den Standard "admin" zu deaktivieren ist dabei nur ein Hilfmittel und erfolgreiche Angriffe abzuwehren.
 
Zuletzt bearbeitet:

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Und wo bleibt der dritte Benutzer? Also ein Benutzer ohne Adminrechte...? Du willst doch nicht ersthaft immer mit einem Administratorkonto arbeiten.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.874
Punkte für Reaktionen
1.154
Punkte
288
Administrator ist zum administrieren
Benutzer ist zum benutzen

das ist doch klar?
normalerweise arbeitest du mit dem normalen Benutzer.
Wenn du mal etwas administratives auf der DS machen musst, also neue Benutzer anlegen, oder Rechte verwalten, dann loggst dich vorübergehend als Administrator ein, erledigst diese Arbeiten und danach kannst du normal weiter Arbeiten mit dem normalen Benutzer.

Genau gleich wie an deinem PC.
 
  • Like
Reaktionen: Mist

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484

felidaetabsy

Benutzer
Mitglied seit
19. Sep 2021
Beiträge
35
Punkte für Reaktionen
0
Punkte
6
Kenn mich jetzt nicht mehr aus.
Hab einen admin und mich als Benutzer und sonst keinen Benutzer. Einen Gast bei Bedarf für Datenfreigabe als link u zeitlich beschränkt.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.874
Punkte für Reaktionen
1.154
Punkte
288
dann nochmals #21 laut vorlesen
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.874
Punkte für Reaktionen
1.154
Punkte
288
damit ist gemeint der Beitrag #21 von Puppetmaster

dort steht klar was du brauchst
 

Peter_Lehmann

Benutzer
Mitglied seit
10. Jun 2013
Beiträge
176
Punkte für Reaktionen
10
Punkte
24
Oh ja, diese Diskussion kommt mir sehr bekannt vor.
Otto-Normal-Mausschubser arbeitet (meistens) auf seiner WinDOSe mitsamt seiner ganzen Familie auf einem und demselben Benutzerkonto. Dieses Konto hat Administratorrechte und dafür sehr oft kein Passwort. Ist ja immer gut gegangen und wir haben ja auch keinerlei Geheimnisse voreinander.

Für uns Linux-Nutzer ist es ein (das!) absolute Unding, sich auf der GUI als root anzumelden und dieses Konto zum Arbeiten/Surfen/Mailen oder auch Daddeln zu verwenden. Wir sind das so gewohnt und kennen/wollen es nicht anders. Das root-Konto wird nur zum Administrieren genutzt!
Ein Windows-Nutzer muss umdenken. Und das fällt verständlicherweise mitunter schwer.

BTW: Auch ein paar mehr angelegte Benutzerkonten machen den Rechner nicht langsamer. Er benötigt auch nicht mehr Strom. Es gibt keinerlei Grund mit Benutzerkonten zu geizen!

Sorry, das war wieder etwas spitz.

vy 73 de Peter
 
  • Like
Reaktionen: Synchrotron

felidaetabsy

Benutzer
Mitglied seit
19. Sep 2021
Beiträge
35
Punkte für Reaktionen
0
Punkte
6
Oh ja, diese Diskussion kommt mir sehr bekannt vor.
Otto-Normal-Mausschubser arbeitet (meistens) auf seiner WinDOSe mitsamt seiner ganzen Familie auf einem und demselben Benutzerkonto. Dieses Konto hat Administratorrechte und dafür sehr oft kein Passwort. Ist ja immer gut gegangen und wir haben ja auch keinerlei Geheimnisse voreinander.

Für uns Linux-Nutzer ist es ein (das!) absolute Unding, sich auf der GUI als root anzumelden und dieses Konto zum Arbeiten/Surfen/Mailen oder auch Daddeln zu verwenden. Wir sind das so gewohnt und kennen/wollen es nicht anders. Das root-Konto wird nur zum Administrieren genutzt!
Ein Windows-Nutzer muss umdenken. Und das fällt verständlicherweise mitunter schwer.

BTW: Auch ein paar mehr angelegte Benutzerkonten machen den Rechner nicht langsamer. Er benötigt auch nicht mehr Strom. Es gibt keinerlei Grund mit Benutzerkonten zu geizen!

Sorry, das war wieder etwas spitz.

vy 73 de Peter
Nicht spitz geschrieben, lustig zu lesen.
Da sind Fachausdrücke dabei die lese ich zum ersten Mal.
Und ich bin der EINZIGE Benutzer MIT Passwort.
 

Peter_Lehmann

Benutzer
Mitglied seit
10. Jun 2013
Beiträge
176
Punkte für Reaktionen
10
Punkte
24
@felidaetabsy:

Danke, dass du das als lustig bezeichnen kannst. Ich wollte dich auch keinesfalls verärgern oder belehren. Ist mehr Verständnis für jemanden, der das nicht so kennt.
Als (privater) Besitzer eines NAS übernimmt man automatisch auch eine gewisse, nicht zu unterschätzende Verantwortung. Nicht nur für die (zumeist eigenen) darauf gespeicherten Daten, sondern auch für das sichere Betreiben dieses oft frei im Internet stehenden Server(chen)s.
Will damit sagen, dass ein erfolgreicher Angreifer (=> bekannter Benutzername "admin" und schnell zu erratendes schlechtes Passwort) nicht nur Schindluder mit deinen Daten treiben kann, sondern auch mal ganz schnell dein Gerät in seinem Interesse "modifiziert". Da läuft dann schnell mal ein (deinen Strom verbrauchender) Kryptogeld-Miner oder ein SPAM-Bot oder ein Zwischenserver für irgendwelche kriminellen Machenschaften darauf. Du bist dann der letzte, der das dann bemerken wird.
Deshalb, und nicht etwa um dich zu ärgern, solltest du alles unternehmen, um dein NAS möglichst sicher zu betreiben. Und die einfachste ist, den Administratoraccount sehr sicher zu machen.
Tipp: Lege dir (zumindet temporär) ein weiteres Benutzerkonto mit Adminrechten an und übe damit die Einrichtung der 2-Faktor-Authentisierung. Es ist wirklich ganz einfach, und auf jedem Smartphone kannst du dir einen Authenticator einrichten. Warum ein weiteres Konto? => damit du dich beim Üben nicht aussperren kannst! Und (noch ein Tipp), mache als erstes einen Screenshot von dem angezeigten QR-Code und speichere diesen (sicher) als Datei.
Wenn das alles geklappt hat, kannst du die 2FA auch auf dem "offiziellen" Administratorkonto einrichten.
Und noch einer: Ich habe auf allen meinen vielen Geräten auch noch einen "Notzugang" angelegt. Mit einem sehr langen Passwort, 2FA und in der Hoffnung, diesen Zugang nie benutzen zu müssen.

vy 73 de Peter
 

Marski

Benutzer
Mitglied seit
31. Okt 2020
Beiträge
59
Punkte für Reaktionen
0
Punkte
6
Welche Meldung?
Es geht eher darum, den ursprünglichen "admin" zu deaktivieren (nicht löschen/umbenennen) nachdem ein neues Konto zum Admin gemacht wurde.
Hallo Benares
Danke für deine Unterstützung. Das Problem ist nun definitiv gelöst.
Marski
 

Marski

Benutzer
Mitglied seit
31. Okt 2020
Beiträge
59
Punkte für Reaktionen
0
Punkte
6
@felidaetabsy:

Danke, dass du das als lustig bezeichnen kannst. Ich wollte dich auch keinesfalls verärgern oder belehren. Ist mehr Verständnis für jemanden, der das nicht so kennt.
Als (privater) Besitzer eines NAS übernimmt man automatisch auch eine gewisse, nicht zu unterschätzende Verantwortung. Nicht nur für die (zumeist eigenen) darauf gespeicherten Daten, sondern auch für das sichere Betreiben dieses oft frei im Internet stehenden Server(chen)s.
Will damit sagen, dass ein erfolgreicher Angreifer (=> bekannter Benutzername "admin" und schnell zu erratendes schlechtes Passwort) nicht nur Schindluder mit deinen Daten treiben kann, sondern auch mal ganz schnell dein Gerät in seinem Interesse "modifiziert". Da läuft dann schnell mal ein (deinen Strom verbrauchender) Kryptogeld-Miner oder ein SPAM-Bot oder ein Zwischenserver für irgendwelche kriminellen Machenschaften darauf. Du bist dann der letzte, der das dann bemerken wird.
Deshalb, und nicht etwa um dich zu ärgern, solltest du alles unternehmen, um dein NAS möglichst sicher zu betreiben. Und die einfachste ist, den Administratoraccount sehr sicher zu machen.
Tipp: Lege dir (zumindet temporär) ein weiteres Benutzerkonto mit Adminrechten an und übe damit die Einrichtung der 2-Faktor-Authentisierung. Es ist wirklich ganz einfach, und auf jedem Smartphone kannst du dir einen Authenticator einrichten. Warum ein weiteres Konto? => damit du dich beim Üben nicht aussperren kannst! Und (noch ein Tipp), mache als erstes einen Screenshot von dem angezeigten QR-Code und speichere diesen (sicher) als Datei.
Wenn das alles geklappt hat, kannst du die 2FA auch auf dem "offiziellen" Administratorkonto einrichten.
Und noch einer: Ich habe auf allen meinen vielen Geräten auch noch einen "Notzugang" angelegt. Mit einem sehr langen Passwort, 2FA und in der Hoffnung, diesen Zugang nie benutzen zu müssen.

vy 73 de Peter
Vielen Dank für deine Nachricht und Erklärung. Jetzt ist mein NAS sicher. Ich habe ein sicheres Administrator-Konto und das Admin-Konto ist nun deaktiviert. Dazu habe ich ein starkes Passwort. Also alles ist in Ordnung. Merci
 

Marski

Benutzer
Mitglied seit
31. Okt 2020
Beiträge
59
Punkte für Reaktionen
0
Punkte
6
Und wenn das dann geklappt hat, am Besten auf den neuen User in der Admin-Gruppe noch 2FA drauflegen.

Zusätzlich diesen User wirklich nur dann verwenden, wenn man etwas einzurichten oder daran zu ändern hat.

Für den laufenden Zugriff (mindestens) einen anderen Benutzer anlegen und verwenden, der nicht zur Gruppe der Administratoren gehört.
Hallo Synchroton
Vielen Dank für dein Unterstützung. Das Problem ist nun definitiv gelöst. Merci
 

Marski

Benutzer
Mitglied seit
31. Okt 2020
Beiträge
59
Punkte für Reaktionen
0
Punkte
6
OK, du musst wohl zuerst etwas von Grundlagen überlegen

Wenn du dich mit dem originalen 'admin' einloggst, dann kannst du diesen nicht deaktivieren, weil das bist du gerade und kannst nicht sich selber deaktivieren.

Damit du das kannst, musst du einen anderen Administrator haben und sich damit einloggen. Erst dann kannst du ein anderes Account deaktivieren.
(das ist so bei allen Computern so, hat nichts mit Syno zu tun)

Als das ist nicht Schwachsinn, sondern eine Notwendigkeit.

Auch die 'alte' Version gibt die Warnung aus man soll den 'admin' deaktivieren. Schon lange. Aus gutem Grund.
Da ist der Hauptadmin und dessen Name kann nicht geändert werden. Wenn dann eine Software, zum Bsp irgendwelche Malware oder Hacker oder Ransomware versucht einzudringen, hat schon die Hälfte der Zugangsdaten, nämlich den Namen admin. Und muss nun nur noch das Passwort herausfinden.

Aus diesem Grund werden die 'ur' admin Accounts bei vielen Systemen deaktiviert. So wie zum Bsp auch bei Windows, aber auhc Industrie Steuerungen etc.

Die Warnung war schon immer in Synolgy, früher halt nur in den Anleitungen (die du kaum gelesen hast) und heute warnt es halt immer wieder bis der Anwender es endlich tut und den admin deaktiviert. Den braucht man wirklich kaum für etwas wirklich.

Also mache es bitte genau so wie alle anderen, lege einen eigenen Administrator an und dann kannst du den admin deaktivieren.
Danke ottosykora. Das Problem ist nun definitiv gelöst. Merci
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat