Zum Inhalt wechseln


Foto

lokale Userverwaltung sperren


  • Bitte melde dich an um zu Antworten
12 Antworten in diesem Thema

#1 carnivore

carnivore

    Member

  • 340 Beiträge

 

Geschrieben 22. Dezember 2016 - 12:38

Hallo,

Wo kann man die Berechtigungen für die lokale Userkontenverwaltung setzen. Offenbar haben Administratoren change-rechte, normale User nur lesen-rechte. Ich möchte erreichen, dass normale User die lokalen Accountverwaltung gar nicht erreichen können, weder per lokaler GUI, per Code, noch remote. Brauchen und sollen sie nicht.

 

Merci

carnivore

 



#2 Sunny61

Sunny61

    Expert Member

  • 22.248 Beiträge

 

Geschrieben 22. Dezember 2016 - 12:41

Von welcher Userkontenverwaltung sprichst Du? Am Server oder vom Client? Wenn Client dann hat der normale User nur Leserechte, was soll er kaputt machen? Oder hast Du Accounts die gar nicht auftauchen sollen? Dann nutze dafür KEINE lokalen Accounts, sondern AD-Accounts.


Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#3 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 22. Dezember 2016 - 12:42

Offenbar haben Administratoren change-rechte


Nee Administratoren haben Administratoren-Rechte. Irgendwie logisch oder? Und wenn das ein Problem darstellt, solltest du ihnen die Rechte nehmen. Alles andere ist an der Stelle nur Makulatur.
Leserechte für User sind für mich nicht wirklich kritisch, weil in der lokalen Accountverwaltung eigentlich nichts wirklich wichtiges zu finden ist. Was genau stört dich daran?

Bye
Norbert

Make something i***-proof and they will build a better i***.


#4 NilsK

NilsK

    Expert Member

  • 12.474 Beiträge

 

Geschrieben 22. Dezember 2016 - 14:00

Moin,

 

in der lokalen Accountverwaltung kann man keine granularen Rechte setzen. User können die lokalen Konten (lesend) abfragen, das ist gewünscht, weil sie nur so ja z.B. Berechtigungen setzen können.

Die Frage wäre eher, warum es bei euch lokale Accounts gibt und - wie Norbert schon fragt - warum es kritisch ist, dass man die sieht.

 

Wenn es um die Remote-Abfrage geht, dafür gibt es Ansätze.

https://gallery.tech...Remote-48d94b5b

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#5 carnivore

carnivore

    Member

  • 340 Beiträge

 

Geschrieben 22. Dezember 2016 - 14:28

Danke für den Link. Das müssen wir uns auf jeden Fall ansehen!

 

zum Warum: Es gibt leider nicht nur nette Kollegen auf der Welt. In der lokalen Administratorengruppe sieht ein weniger netter Kollege auch als User sofort, auf welche Accounts oder Gruppen es sich lohnt loszugehen. Diese Accounts (Helpdesk, Installationsaccounts, etc) haben Zugriff nicht nur auf einen, sondern auf viele Clients. 

 

User dürfen bei uns auf ihren Clients keine Shares anlegen oder Berechtigungen vergeben. Daher ist die Information aus der Userverwaltung vollkommen uninteressant für loyale User, aber ein interessanter Hint für weniger loyale Nutzer.


Bearbeitet von carnivore, 22. Dezember 2016 - 14:28.


#6 NilsK

NilsK

    Expert Member

  • 12.474 Beiträge

 

Geschrieben 22. Dezember 2016 - 14:34

Moin,

 

ich verstehe die Bedenken, aber auf dem Weg werdet ihr nicht weit kommen. Die Ansicht lokaler Konten lässt sich nicht sperren. Höchstens die Remote-Abfrage, aber gerade in deinem Szenario bringt das auch nicht viel.

 

Der wesentlich bessere Weg ist, die kritischen Konten, die du ansprichst, ordentlich abzusichern und ggf. Angriffsversuche (fehlgeschlagene Logins) zu überwachen. Zudem solltet ihr die Mitgliedschaft in lokalen Administratorgruppen nicht für Useraccounts vorsehen, sondern nur für Gruppen - eine oder zwei reichen normalerweise aus. Das ist nicht nur weniger leicht auszuforschen (eine AD-Gruppe beispielsweise lässt sich per Berechtigungen vor neugierigen Blicken schützen), sondern auch leichter zu verwalten.

 

Ich werf dann aber noch mal dies in den Raum:

 

[DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net]
http://www.faq-o-mat...konten-sperren/

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#7 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 22. Dezember 2016 - 14:41

Danke, ansonsten geht das lokale Auflisten sicher auch als User per Powershell  usw. (https://powershell.o...-new-old-way-3/) Also stimme ich Nils zu, dass man das wenn dann anders angehen sollte.


Make something i***-proof and they will build a better i***.


#8 testperson

testperson

    Board Veteran

  • 4.658 Beiträge

 

Geschrieben 22. Dezember 2016 - 14:51

Und für die Built-In Admins (die deaktiviert sind) bzw. für "benötigte" lokale Accounts -> LAPS zum regelmäßigen Ändern der Passwörter auf den PCs.


Good morning, that's a nice TNETENNBA!

#9 carnivore

carnivore

    Member

  • 340 Beiträge

 

Geschrieben 27. Dezember 2016 - 09:00

Moin,

 

ich verstehe die Bedenken, aber auf dem Weg werdet ihr nicht weit kommen. Die Ansicht lokaler Konten lässt sich nicht sperren. Höchstens die Remote-Abfrage, aber gerade in deinem Szenario bringt das auch nicht viel.

 

Der wesentlich bessere Weg ist, die kritischen Konten, die du ansprichst, ordentlich abzusichern und ggf. Angriffsversuche (fehlgeschlagene Logins) zu überwachen. Zudem solltet ihr die Mitgliedschaft in lokalen Administratorgruppen nicht für Useraccounts vorsehen, sondern nur für Gruppen - eine oder zwei reichen normalerweise aus. Das ist nicht nur weniger leicht auszuforschen (eine AD-Gruppe beispielsweise lässt sich per Berechtigungen vor neugierigen Blicken schützen), sondern auch leichter zu verwalten.

 

Ich werf dann aber noch mal dies in den Raum:

 

[DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net]
http://www.faq-o-mat...konten-sperren/

 

Gruß, Nils

 

Wenn es nicht geht, muss man es akzeptieren.

 

Es ist nicht so, dass unsere Konten vollkommen ungeschützt sind.

Gegen eine einfache "DOS-Attacke für jedermann", wie du sie in deinem Artikel beschreibst, haben wir Schutz-Mechanismen. Die werden nicht gegen alle denkbaren DOS-Varianten helfen, aber gegen die "Einfachen".


Bearbeitet von carnivore, 27. Dezember 2016 - 09:05.


#10 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 27. Dezember 2016 - 10:57

Wie denn, wenn man fragen darf.

Make something i***-proof and they will build a better i***.


#11 NilsK

NilsK

    Expert Member

  • 12.474 Beiträge

 

Geschrieben 27. Dezember 2016 - 11:31

Moin,

 

Wenn es nicht geht, muss man es akzeptieren.

 

... oder es richtig machen - einen Weg dazu habe ich oben beschrieben.

 

Und was die "Schutz-Mechanismen" gegen den Angriff aus meinem Artikel angeht: Es gibt genau einen, der sinnvoll ist, und das ist der Verzicht auf automatische Kontensperrung.

 

Gruß, Nils


Bearbeitet von NilsK, 27. Dezember 2016 - 11:33.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#12 carnivore

carnivore

    Member

  • 340 Beiträge

 

Geschrieben 27. Dezember 2016 - 11:36

Wie denn, wenn man fragen darf.

Genau kann ich es dir nicht sagen, aber es sind IDS/ IPS (Intrusion Detection/ Protection Systeme), die bei gewissen Patterns aktiv werden.

Googel einfach danach, da gibt's genügend Anbieter.

 

@Nils, du kennst dich mit Sicherheit 100-mal besser mit Windows aus als ich. Die gängigen Industriestandards der IT legen trotzdem einen lockout nach einer bestimmten Anzahl von Fehlversuchen nahe.
Standards bewusst zu unterschreiten, kann gefährlich werden. Da geht's dann um Haftung. (hier kenne ich mich jetzt vielleicht besser aus :-) )


Bearbeitet von carnivore, 27. Dezember 2016 - 15:19.


#13 NilsK

NilsK

    Expert Member

  • 12.474 Beiträge

 

Geschrieben 27. Dezember 2016 - 18:31

Moin,

 

@Nils, du kennst dich mit Sicherheit 100-mal besser mit Windows aus als ich. Die gängigen Industriestandards der IT legen trotzdem einen lockout nach einer bestimmten Anzahl von Fehlversuchen nahe.

 

so ohne Weiteres stimmt das nicht. Das wird zwar oft generalisierend so gesagt, aber bei näherer Betrachtung kann bzw. darf man das nicht einfach so anwenden. Betrachte etwa mein - bewusst simpel gehaltenes - DOS für Arme: Das setzt genau an dem Punkt an. Die Sperrung greift für die ganze Domäne, also auch für die wichtigen Konten. Man kann in fast allen Netzwerken ohne erhöhte Rechte sehr simpel erheblichen Schaden anrichten.

 

Kontensperrung soll schwache Kennwörter beherrschbar machen. Besser ist es also, keine schwachen Kennwörter zu nutzen, zumindest bei Diensten und hochprivilegierten Konten. Die werden in aller Regel von Leuten genutzt, denen man starke Kennwörter sehr wohl zumuten kann. Ist ein Kennwort stark, dann sind Brute-Force-Angriffe aussichtslos, und man kann sich das Sperren sparen.

 

Wenn überhaupt, dann sollte man Sperrungen nur in Kombination mit Fine-Grained Password Policies einsetzen. In dem Fall kann man für verschiedene Kontenklassen unterschiedliche Richtlinien innerhalb einer Domäne verwenden.

 

 

Standards bewusst zu unterschreiten, kann gefährlich werden. Da geht's dann um Haftung. (hier kenne ich mich jetzt vielleicht besser aus :-) )

 

Wenn man nach meiner Argumentation vorgeht, dann unterschreitet man die Standards nicht, sondern man übertrifft sie. Und ja, genau das muss man unter Umständen bewusst tun, wenn Standards ihre Aufgaben nicht erfüllen. Ein Standard, der Kontensperrungen nach (vielleicht auch noch wenigen) Fehleingaben pauschal vorschreibt, erfüllt seine Aufgabe nicht.

 

Gruß, Nils


  • NorbertFe gefällt das

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!