Administrator Account absichern?

Guten Abend.

Heute bin ich auf der suche nach einer Art Kindersicherung. Ich muss einen Administratoraccount in einem Umschlag in den Tresor unserer Stadt legen, als Notfall bzw. falls einmal jemand anderes meinen Job machen soll.

Jetzt mchte ich das ganze jedoch ein wenig "verkomplizieren" und dafür sorgen dass nicht jeder sich einfach so mit dem darin enthaltenen Passwort als Admin anmelden kann, sondern das es schon ein wenig schwieriger wird.

Zweck soll sein dass nicht jeder Stadtangestellt der meint: "ich hätte mal gerne mehr Rechte, habe ich ja zuhause auch." sich den Account nehmen kann.

Ich dachte zuerst an eine Art Bridge, z.B. das man erst einen Standardbenutzer anmelden muss und danach in Form von sudo sich die Rechte nehmen kann.

Allerdings fällt mir dazu noch nicht so ganz das goldene ein.

Vor dem Problem mit dem "Adminaccount im Briefumschlag" stehen ja sicherlich mehrere.

Die Frage ist also wie habt ihr das gelöst und was für Vorschläge für mein Problem hättet ihr?

Das kannst du eigentlich nur organisatorisch lösen. Sprich Umschlag versiegeln und wer ihn aufmacht kriegt auf die Finger.

Gruß

woiza

Das kannst du eigentlich nur organisatorisch lösen. Sprich Umschlag versiegeln und wer ihn aufmacht kriegt auf die Finger.

 

Gruß

 

woiza

Über das versiegeln habe ich auch schon nachgedacht, ist natürlich keine Prävention sondern ist nur als "nachher auf die Finger" Lösung gedacht :D

Aber danke für den Hinweis, ich denke ich werde es wohl so machen müssen.

Erfolgreichen Tag,

Christopher

Hallo Christopher,

so ein Umschlag gehört auch außerdem versiegelt in einen Tresor. Und für den wird (sollte) ja nicht jeder nen Schlüssel haben.

oder Du bestimmst einen Stellvertreter und dieser muss dann Deine Arbeiten machen. Wenn Du als Admin arbeitest und Dein Passwort in dem Umschlag ist, rate ich Dir davon ab. Ich würde folgendermassen vorgehen:

1. Bestimme einen Stellvertreter

2. Erstelle für diesen ein eigenes Admin-Konto (zum Beispiel DomAdm Stv. oder AdminStv)

Dann siehst Du wann er welche Modifikationen vorgenommen hat und kannst ihm gegebenenfalls auf die Finger klopfen...

dann dürften Admin und Stellvertreter aber nie gemeinsam in ein Auto oder Flugzeug steigen :rolleyes:

- Wir haben ein zweigeteiltes Password für die SID -500 in zwei Umschlägen, das von verschiedenen Personen unabhängig eingegeben und erstellt wurden. Niemand kennt also das PW des Administrators

- die Umschläge liegen im Tresor

- eine Liste von Personen, wer diese Umschläge öffnen darf

- ein Auditing auf die Administrator -500 Kennung. Im Normalfall kann/ darf niemand damit arbeiten oder das PW ändern.

cu

blub

- ein Auditing auf die Administrator -500 Kennung. Im Normalfall kann/ darf niemand damit arbeiten oder das PW ändern.

 

cu

blub

Könntest du kurz ausführen wie Ihr das gemacht/umgesetzt habt?

Grüße

subby

@Blub

Das ist eine geniale Idee.

@subby, was genau?

Ich habe in der mmc das administratorkonto geöffnet, die erste Person reingerufen der 7Zeichen beim PW eingegen hat. Anschliessend hat derjenige das PW in einem versiegelten Briefumschlag zugeklebt.

Anschliessend bei Person #2 dasselbe procedere.

cu

blub

Nein, ich meinte ehr das Auditing des -500er Accounts / also des Admins.

subby

Nein, ich meinte ehr das Auditing des -500er Accounts / also des Admins.

@blub

wie funzt das genau ????;)

Nach genau so einer Lösung suche ich auch schon seit xx Wochen...

Hi,

In den Security Events wird bei jeder Anmeldung, Passwortwechsel etc. ein Event geschrieben - die Audit Policies müssen halt entsprechend gesetzt sein.

Diese Events kann man nach bestimmten Kriterien z.b. Username überwachen. Wenn also auf irgendeinem DC ein Event auftaucht, dass dem Administratoraccount zuzuordnen ist, gibts es automatisch etsprechende Benachrichtigungen an einen SecurityVerteiler.

Wir nutzen dafür den Security Manager von NetIQ Corporation.

cu

blub

Alles klar...

Ich danke dir für die Infos...

Werde mich dann mal mit dem Security Manager von NetIQ Corporation vetraut machen.

netiq ist nicht ganz billig. Zum einfachen Auswerten der Securitylogs eignet sich auch sehr gut der kostenlose Logparser von MS Microsoft Download Center. Mit ein bischen vbs und blat kombiniert, kann man sich sicher auch schon schöne Lösungen bauen

cu

blub

so mal ganz einfach mit dem logparser sieht das so aus

erste Datei heisst z.B. Adminwatch.sql

------------

SELECT TimeGenerated, EventID, ComputerName, SID, Message, Data, SourceName, EventTypeName, EventCategory

FrOM

\\dc1\security,

\\dc2\security,

\\dc3\security

To output.tsv

where (SID='domain1\Administrator')

ORDER by TimeGenerated DESC

-------------

Der Scheduler könnte z.B. alle Stunde diese cmd-Datei aufrufen

----------

LogParser file:Adminwatch.sql -i:EVT -o:TSV -resolveSIDs:ON

----

Der logparser ist unheimlich mächtig. Man kann den Logparser sogar dazu bringen nur neue Events anzusehen, die seit dem letzten Lauf neu generiert wurden. Das habe ich aber noch nicht gemacht, wäre aber interessant.

cu

blub