Sicherheit Admin Account - Jedermann mit Geräte-Zugriff kann Passwort neu setzen

[Matthieu]

Sofern in einem Unternehmen personenbezogene Daten verarbeitet werden (was für 99% gilt, da alleine schon die Adresse der Kunden personenbezogen ist), MUSS das verarbeitende Gerät vor physischem Zugriff geschützt werden. Andernfalls kann ich mir einen Verstoß gegen das BDSG lebhaft vorstellen.
https://www.gesetze-im-internet.de/bdsg_1990/anlage.html

MfG Matthieu

Hinweis: Hier findet keine Rechtsberatung statt. Es gibt ein gesetzliches Verbot, Rechtsberatung durch nicht-Juristen vorzunehmen. Daher bitte nur als persönliche Meinung oder persönliche Erfahrung sprechen!

 

[tproko]

Stimmt natürlich voll und ganz! DSGVO und besonders schützenswerte Personendaten sind da natürlich ein Thema.

Ich habe hier für mich nur vom privaten Gebrauch in den eigenen 4 Wänden gesprochen.

 

[NAS-Dan]

Hallo,
bin gerade zufällig in diesen älteren Thread reingestolpert.

Ich meinte irgendwo in einem Tutorial gelesen zu haben, dass es ratsam wäre, aus SIcherheitsgründen den default admin zu deaktivieren.
Das habe ich dann beim Einrichten meines NAS auch so gemacht.

nun frage ich mich, ob auf diese Weise die hier diskutierte Passwortrücksetzung des admin accounts verhindert wird? (Vermutlich nicht, sonst gäbe es diesen Thread ja nicht?)

 

[Thonav]

Es geht darum, dass standardmäßig bei allen DS´en ein Benutzer admin mit Administrationsrechten vorhanden ist. Somit hätte ein potentieller "Angreifer" schon einmal den Benutzernamen - oftmals wird zudem ein einfaches PW gewählt.
Wenn Du Deinen Benutzer lollipop&moppelchen nennst, hätte der Angreifer es schon schwerer.

 

[NAS-Dan]

Vielen Dank für die Klärung.
Und was passiert, wenn ich den Default User "admin" deaktiviere und mehrere andere Admin Accounts mit verschiedenen Namen habe. Wird dann bei drücken der Resettaste der User admin neu angelegt oder wird bei einem/ allen Admin Accounts das Passwort zuruckgesetzt?

 

[Kurt-oe1kyw]

Wenn du den Resetknopf für 4 sek drückst bis zum ersten "piep", dann wird der kleine Reset durchgeführt.
Dabei wird u.a. der admin aktiviert und dessen Passwort auf Werkseinstellung zurückgesetzt. Auch werden einige andere Einstellungen zurückgesetzt, bitte nachlesen - Synology kleiner Reset.
Die anderen User, auch jene mit adminrechten sind vom Reset nicht betroffen und bleiben unverändert.

Noch mal, wenn jemand Angst davor hat das jemand den Resetknopf findet dann sorgt dafür dass er nicht einfach so zugänglich ist.
Entweder die kleine Lücke im Gehäuse schliessen um das Drücken zu verhindern, oder die DS/RS gleich an einen gesicherten Ort aufstellen.
Ob dies nun ein Sicherheitsschrank ist oder Raum welcher gesichert ist, wäre dann egal.

 

[ottosykora]

und die relevanten Daten in einem verschlüsselten Ordner lagern. Das wird nämlich bei dem Reste ausgehängt und wird nicht mehr automatisch eingehängt.
Somit kommt der Reset-Konpf-Drücker nicht an die Daten.

 

[D_Espero]

Es gibt noch die Option Aktuelles Admin Kennwort beibehalten. Zu finden unter Systemsteuerung - Aktualisieren u. Wiederherstellen - Zurücksetzen.
Das habe ich aber nicht getestet.

 

[NSFH]

Was den Zugriff auf beliebige PC Systeme angeht: Sobald ich so ein Gerät habe kann ich mit einem USB Stick jegliches andere Betriebssystem booten um Zugriff auf die HDs zu bekommen. Von daher ist der Resetknopf Null Risiko.

Verschlüsselung in der Syno: Die Schlüssel liegen auf einem USB-Stick und die Sicherung des Sticks erfolgt auf die einfachste Weise der Welt: Er ist mit Komponentenkleber im Serverschrank festgeklebt. Wenn versucht wird den mitzunehmen wird er zerstört.
Ja, man könnte sich die Zeit nehmen einen PC an das Verlängerungskabel zu hängen um ihn auszulesen, hier geht es aber nur um die Diebstahlsicherung an sich. Ein Dieb wird sich nicht die Mühe machen den Verlauf von Anschlusskabeln zu untersuchen um dann diesen Vorggang durchzuführen.
Haben die kleinen Synos nicht auch ein Kensingtonlock?

 

[anskar38]

Moin!

Ich traue mich fast gar nicht, dieses alte Thema noch mal anzufassen und damit nach oben zu schieben. Da ich diese Diskussion aber äußerst interessant finde und gerade jetzt, wo es mit dem Beitrag #28 spannend wurde, kamen keine Antworten mehr. Müsste das ursprüngliche Anliegen nicht eigentlich mit Admin-Kennwort beibehalten "behoben" sein?

Bei mir ist da ein Haken drin. Ich weiß nur nicht, ob ich den mal händisch gesetzt habe oder ob es Standard ist

Ich persönlich habe meine beiden Festplatten in der NAS verschlüsselt. Nach einem Neustart der NAS muss ich das jeweilige Passwort eingeben, um die Laufwerke/Ordner wieder einzuhängen. Da fühle ich mich relativ sicher mit, falls mal eine Bösewicht kommt und dann ausgerechnet das NAS mitnimmt. Um was anderes geht es ja eigentlich im privaten Bereich nicht.

 

[Monacum]

Ich persönlich habe meine beiden Festplatten in der NAS verschlüsselt.

Nur dass hier keine Missverständnisse aufkommen, unter DSM 7.1 und niedriger werden nicht „die Festplatten“ verschlüsselt, sondern freigegebene Ordner darauf.

 

[anskar38]

Es war tatsächlich etwas ungünstig formuliert. Ich meinte in meinem vorigen Beitrag auch verschlüsselte freigegebene Ordner.
Verwende DSM 7.1.1.


EDIT:
Wobei das admin-Passwort in diesem Kontext ja eh "relativ" unwichtig ist, wenn jemand an das Gerät kommt und es womöglich mitnimmt. Wenn man beim NAS die Datenträger rausnimmt und an einen Rechner anschließt, besteht ja eh Zugriff auf die Dateien, sofern diese nicht geschützt sind. Da nützt einem das admin-Passwort auch nichts mehr.
Es bleibt einem also nichts anderes übrig, als die Ordner zu verschlüsseln, wenn man seine Daten sicher wissen will.

 

[AndiHeitzer]

Haben die kleinen Synos nicht auch ein Kensingtonlock?

Latürnich haben die das.

 

[Synchrotron]

Wobei ein Kensington eine eher relative Sicherheit schafft. Sieht halt blöd aus, wenn man mit einer DS durch die Gegend läuft, an der ein Tischbein hängt.

 

[Puppetmaster]

Wenn du das Tischbein dann auch wirklich noch mitnimmst, hast du aber generell auch etwas falsch gemacht.

 

[Monacum]

Oder es ist nicht seine DS