Jump to content

Grundsätzliches: Admin-Kenntnis der Userpasswörter

idephili

Von idephili
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

idephili Rising Star

idephili   10

Geschrieben
Geschrieben

Hi,

 

ich hab mal grundsätzlich eine Frage zur Regelung bzw. Handling von Benutzerkennworten zur Clientanmeldung im Domänennetzwerk.

 

Ich hab die eigentlich mehr nach dem Prinzip "man braucht eines zum Anmelden, aber ich sag Dir welches" eingerichtet. Es gibt ja "an und an" die Art von Benutzern, die nicht mal z.B. Outlookregeln/Startseite/anderen Kleinkram konfigurieren können, also Sachen, die rein Userkonto bezogen sind und bei denen ich mich dann davor setze, mit dessen Konto anmelden muß und entsprechend agiere. Je nach Aufwand am Wochenende.

Das wäre ja nicht möglich, wenn ich dann das Kennwort nicht hätte.

 

Problem bei diesem "PW-Verteilung" ist natürlich, daß man relativ leicht auf die Paßworte anderer Benutzrer kommen kann - nachname/234 o.ä. - ich merk mir ja nicht 20 Tiernamen. :)

 

Alternative wär natürlich, bei "geheimen" User-PW jenes im AD zurückzusetzten, um den User bei der nächsten Anmeldung ein neues kreieren zu lassen.

 

Soweit mein Kenntnisstand. Eigene Paßworte sind eigentlich nur der oberen Etage vorbehalten, aber hier kam mal diesbezügliche User-Frage auf, die mich zu diesen Überlegungen veranlaßt.

 

Wie regelt ihr das, was ist sinnvoll, wenn die Daten der PCs im Angestelltenverhältnis nichts Geheimes beinhalten sollen und es auch nicht tun, also das PW und seine Schlichtheit auch entsprechend "Wurst" ist?

 

Gruß + Danke fürs Lesen

idephili

Link zu diesem Kommentar
Stonehedge Mentor

Stonehedge   12

Geschrieben
Geschrieben

Hallo,

 

bei uns ist es so geregelt, dass jeder User sein Passwort ändern koennte. In Anspruch wird das vielleicht bei 5% genommen. Aber selbst wenn jemand ein eigenes Passwort hat, kennt der Rest der Abteilung es trotzdem. Weiß ich also mal ein Passwort nicht, kann ich die Kollegen einfach fragen. Der Sinn wäre damit nur, dass ein Fremder nicht an den Pc kann.

Würde es nach mir gehen, wäre das anders geregelt, aber soweit kommt es wohl erst, wenn dann mal was passiert(Daten auf Netzlaufwerken löschen etc).

 

grüße

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.791

Geschrieben
Geschrieben

Moin,

 

ein Kennwort ist ein persönliches Datum, das niemandem anders gegeben wird. Auch nicht dem Admin. Wenn der Admin selbst anderer Leute Kennwörter anfordert oder die Kennwörter selbst vergibt, muss er sich nicht wundern, wenn die Benutzer ihre Kennwörter auch an Fremde weitergeben.

 

Ich würde die beschriebene Regelung mindestens unter "grob fahrlässig" verbuchen.

 

Gruß, Nils

Link zu diesem Kommentar
idephili Rising Star

idephili   10

Geschrieben
  • Autor
Geschrieben

Hi,

 

da ist ja manches sicherheitstechnisch auch meine Denke. Aber ich möchte ja selbst auch entspannt arbeiten; und bei manchen Kunden kommt alle naselang so ein Kleinkram vor, der mich nicht an der direkten Usernameldung vorbei läßt. Und in dem Fall sind ja "strukturierte PWs etwas ganz praktisch.

 

Ich sehe als Alternative nur, das Passwort zurücksetzen, sofern man derartiges einrichten muß. Also, vielleicht hab ich da auch einen Denkfehler. Der Aufwand ist natürlich nicht so groß, aber ohne ist es leichter.

 

Ich werde das mal verinnerlichen.

 

Gruß

idephili

Link zu diesem Kommentar
s_sonnen Experienced

s_sonnen   20

Geschrieben
Geschrieben
Vor allem möchte man die Kennworte als Admin überhaupt nicht kennen. Das bedeutet nämlich, dass jeder der Meinung ist, dass er seins sich nicht zu merken braucht, da der Admin es ja kennt. Ich frage Leute die mir ihr Kennwort sagen wollen auch immer, ob ich auch gleich noch die PIN und EC Karte bekommen kann.

 

Uneingeschränkte Zustimmung, ... vor allem der Tatsache "Ich muß mir dann mein PW nicht merken."

Wenn ich's wirklich "brauchen" sollte muß es der user eingeben. Manchmal ist das schon unpraktisch aber Sicherheit geht einfach vor.

 

ciao und einen angenehmen Tag

M.

Link zu diesem Kommentar
lepus Proficient

lepus   10

Geschrieben
Geschrieben

Moin,

 

leider sind sich noch viel zu viele Firmen dieser Verantwortung nicht bewusst. Für viele ist die IT noch ein lästiger Zwang den man so nebenbei mit sich führt. Und da muss man sich dann auch nicht über solche Sicherheitsrisiken wundern.

Allerdings schwindet diese Verantwortungslosigkeit mit wachsender Firmengröße. Die meisten Schludereien findet man bei kleinen Handwerksbetrieben.

 

Viele Grüße

Nils

Link zu diesem Kommentar
phoenixcp Grand Master

phoenixcp   10

Geschrieben
Geschrieben
Die meisten Schludereien findet man bei kleinen Handwerksbetrieben.

Das hätte ich bis vor ein paar Tagen auch gedacht, bis ich im Gespräch Informationen über die IT eines 180 Mann Unternehmens bekam. Aus "administrativen Gründen" sind die Kennworte der User durch den einzigen Admin fest vorgegeben (nach einem sehr trivialen Muster für social engineering), dürfen NICHT geändert werden. Der Hit: Mit denselben Kennworten greifen einige der User auch per VPN oder Mobile Device bzw. Laptop von aussen auf das Netz zu.

 

Mir haben fast die Tränen in den Augen gestanden, als der Admin dann auch noch vom GF für seinen Einsatz für eine SICHERE und stabile IT gelobt und gepriesen wurde. Im fachlichen Gespräch attestierte mir diese Mann dann völlige Unkenntnis von der Materie und betitelte mich mit "Theoretiker". Naja, wenn er meint... Mir fiel nix mehr ein.

 

Grundsätzlich gilt für mich: Die Herrschaft über das Kennwort liegt beim User. Je nach Sicherheitsempfinden der GF wird das Kennwort aller 4 bis 12 Wochen zwanghaft geändert und darf nicht mit den letzten 6 bis 12 übereinstimmen. Userkennworte gehen mich nix an, wenn ich an den PC eines Users muss, gibt entweder der User das Kennwort ein bevor ich an den Rechner gehe oder ich setze im AUSNAHMEFALL nach vorheriger Rücksprache das Kennwort des Benutzers zurück, mach meine Arbeit (und nur die, hier empfiehlt sich je nach Unternehmenslage auch ein Vier-Augen-Prinzip), meld mich wieder ab und geb dem User ein neues Kennwort, welches bei Anmeldung durch den User neu zu setzen ist.

 

Alles andere ist sowohl aus Sicht der Sicherheit als auch des Vertrauens des User zur Administration der blanke Wahnsinn und sollte unterbleiben.

Link zu diesem Kommentar
idephili Rising Star

idephili   10

Geschrieben
  • Autor
Geschrieben
Hi Leute,

 

wir dürfen hier keine rechtlichen Aspekte besprechen, daher belasse ich es beim Hinweis auf den Rechtsanwalt Deiner Wahl; denn es ist rechtlich nicht einwandfrei. Das Kennwort gehört zu den Daten eines Benutzers, die meines Wissens nicht abgefragt werden dürfen(!).

 

Viele Grüße

olc

 

Das wage ich ganz stark zu bezweifeln. Schließlich gehören PC und (Firmen-)Daten dem Unternehmen. Ein Kennwortpflicht besteht auch eher durch das Server-System, als durch Arbeitsrechtvorschriften.

 

Aber, wie gesagt, es ist ja kein Jura-Forum hier...:)

 

Zur Sache: Ich hab zwei Kunden, da läuft auf den Clients jeweils nur eine Software und Outlook. In der Software, die ich nicht betreue hat jeder alle Rechte und Möglichkeiten. Was auf diesen Rechern unter privat läuft, sind besuchte Internetseiten und wer meint etwas in Notepad schreiben zu müssen, bitte. Private Mails sind über Webbrowsing erlaubt, sonst bezogen auf die Firmen-Adresse zu unterlassen, das ganze auf Vertrauensbasis. In derartigen Fällen fällt mir kein großer Grund ein, PWs großartig zu generieren.

 

P.S. Bei sämtliche User, die von außen Zugriff haben bekommen ein Ihr eigenes, geheimes PW, klar. Das da und für die kein Weg dran vorbei fpührt ist selbst für mich selbstverstänlich.

 

Grüße

idephili

Link zu diesem Kommentar
olc Veteran

olc   18

Geschrieben
Geschrieben

Hi,

 

das magst Du stark bezweifeln, es ändert nichts an meiner Empfehlung einen Anwalt zu konsultieren. Ich bin mir da nämlich sehr sicher - denn Kennwörter haben rein gar nichts mit Firmeneigentum zu tun. Du hast da scheinbar eine falsche Definition von diesem Begriff.

 

Rein Datenschutz-technisch ist das Thema natürlich auch relevant: http://www.datenschutz-bayern.de/technik/orient/pwreg.htm

 

Ok, ich habe gesagt, was ich zu sagen hatte und klinke mich aufgrund der Bedenken in Bezug auf rechtliche Fragen im Forum einmal aus. ;)

 

 

Viele Grüße

olc

Link zu diesem Kommentar
idephili Rising Star

idephili   10

Geschrieben
  • Autor
Geschrieben
Hi,

denn Kennwörter haben rein gar nichts mit Firmeneigentum zu tun. Du hast da scheinbar eine falsche Definition von diesem Begriff.

 

Aber Kennwörter haben selten den Selbstzweck zu existieren, sondern Daten zu schützen. Und die Daten gehören nunmal nicht dem User. Der Links ist trotzdem eine ausgezeichnete Vorlage zu dieser Thematik, obwohl der Punkt mit der mehrmaligen Anmeldung zwecks besserer Einprägung bei den hohen Beramten bestimmt nicht ganz richtig umgesetzt wurde.:)

 

Ich suchte mit meinem Thread eher nach Antworten zum Handling mit PWs, als nach derem grundsätzlichen Sinn, der offensichtlich ist.

 

Grüße und Danke für die zahlreichen Antworten

idephili

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!
Gast
Dieses Thema wurde für weitere Antworten geschlossen.
Zurück zur Übersicht


×
×
  • Neu erstellen...