Nun ja, ich habe mich entschlossen meine Unterrichts Unterlagen für IT-Techniker, IT-Security und IT-Netzwerktechnik, welche ich vorerst nicht mehr benötigen werde, online verfügbar zu machen. Und dann musste ich mir einen Domänen Namen überlegen. Ich dachte mir sid-500.com klingt cool.
Aber SID-500 ist mehr als ein Domänen Name, SID-500 ist der Security Identifier des Built-In Administrator Accounts auf einem Windows System.
Aufrufen kann man den SID mit get-wmiobject.
Get-WmiObject win32_useraccount
Der Account SID-500 ist meist das erste Ziel bei Brute Force Angriffen. Nur wenig hilfreich ist das Umbenennen des Administrator Kontos. Das ist zwar nicht ganz sinnlos, aber eher der Kategorie naive Milchmädchenrechnung zuzuordnen, denn die SID bleibt gleich. Ich mach das mal in lusrmgr.msc (funktioniert nur mit Windows Pro Versionen bzw. mit Windows Server).
Mein Administrator heißt jetzt Peter. Er ist und bleibt aber SID-500.
Alle neu erstellten Benutzer werden mit SID > 1000 versehen.
net user petra Passw000rd /add
net user michaela Passw000rd /add
Get-WmiObject win32_useraccount | Where-Object {$_.name -like "*petra*" -or $_.name -like "*michaela*"}
Mehr zu Benutzer, SIDs und Gruppen in meinem Beitrag Benutzer und Gruppen in Windows.
Categories: Cyber Security, Windows 10, Windows Server
My name is Patrick Gruenauer. From Austria.
SID-500.COM 
Hi Patrick,
Der Lokale Administrator SID 500 (oder auch RID500) iat in vielen Situationen auch der letzte Helfer in der not der so genannte “braking Glass Admin” (Gerade auf Domain controllern).
Siehe hier:
https://i.reddit.com/r/sysadmin/comments/boghoi/securing_builtin_domain_administrator_account/
LikeLike
Hi Peter,
Ja, da bin ich bei dir bei Member-Server. Auf einem DC gibt es keine lokalen Konten mehr. Die Anmeldung erfolgt mit dem DSRM Passwort.
Lg
LikeLike