Jump to content

Administrator sicher Aussperren / Kurzschlusshandlung verhindern!


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo, ich hab eine Anfrage, den Admin einer Firma sicher auszusperren, da bei ihm eine "Kurzschlußreaktion" nicht ausgeschlossen werden kann....

Worauf muß ich achten? Ich weis nichts von der Firma.

  • Internetverbindung trennen > Router PW ändern und VPN´s ändern
  • DASI Kontrollieren + Eine aktuelle Vollsicherung außer Haus
  • Onlinepasswörter ändern
  • Remotesoftware auf Servern und Clients ändern oder entfernen
  • Alle Benutzerpasswörter im AD ändern
  • Mail des Admins deaktivieren (beim Provider, wenn kein eigener Mailserver vorhanden)
  • DOMADMIN Gruppe überprüfen und anpassen
  • Schlüssel des Gebäudes werden gewechselt
  • Mitarbeiter explizit eine Verpflichtungserklärung unterzeichnen lassen, mit beruflichem Kontaktverbot? (nur sone Idee zur Abschreckung)

 

Woran hab ich nicht gedacht?

Link zu diesem Kommentar

Anwalt zurate ziehen! Du kannst dir nie zu 100% sicher sein, dass er sich nicht doch irgendwo eine Backdoor eingebaut hat. Jeden Abend eine Vollsicherung offline Bereitstellen (sofern möglich).

 

 

  • Mitarbeiter explizit eine Verpflichtungserklärung unterzeichnen lassen, mit beruflichem Kontaktverbot? (nur sone Idee zur Abschreckung)

 

Keine Ahnung ob sowas möglich ist. Kann ja gleichzeitig auch mit dem Anwalt abgeklärt werden. Keine Rechtsberatung im Forum.

Link zu diesem Kommentar

Vorbeugen ist ja bekanntlich besser. Rechtlich ist das ja eine Eindeutige Sache! (das mit der Verpflichtungserklärung war nur sone Idee von mir... Klären wir ab)

Die Firma möcht natürlich, einen Schaden gar nicht erst entstehen lassen! Was nützt es rechtlich sicher zu sein, wenn ein möglicher! Schaden so hoch ist, das man das nicht verkraften kann.

Sicherung ist klar... wie die Möglichkeiten sind, weis ich ja noch nicht... Ich hoffe, das es bei einer Vorsichtsmaßnahme bleibt und alles normal abläuft.

Link zu diesem Kommentar
  • Alle Benutzerpasswörter im AD ändern

Nicht vergessen auch das krbtgt-Password zweimal zu ändern. Bei größeren Umgebungen mit mehreren/ vielen DCs am besten per Skript. Das Skript repliziert die Änderung schneller und zuverlässiger, als es bei einem manueller Reset geschehen würde.

https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51

Stichwort: Golden Ticket

 

Den Vorfall nutzen, um euer Securitykonzept überprüfen zu lassen, ist sicher sinnvoll. Es ist ja nichts anderes wie : "Trojaner im Netzwerk entdeckt, wie reagieren wir auf einen derartigen Incident". Einen solchen Prozess auszuarbeiten, ist keine verlorene Investition!

 

blub 

Link zu diesem Kommentar

Nicht vergessen auch das krbtgt-Password zweimal zu ändern. Bei größeren Umgebungen mit mehreren/ vielen DCs am besten per Skript. Das Skript repliziert die Änderung zuverlässiger, als es bei einem manueller Reset geschehen würde.

https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51

 

Stichwort: Golden Ticket

Danke für den Tip... hab mal in unserer Domäne geschaut. Da ist der krbtgt Account deaktiviert ... (2012R2) 

Link zu diesem Kommentar

Da hole man mal qualifizierten Rechtsrat! Ich haltre solche Idee für hochbedebklich.

Schon verworfen ;-)

 

dann müsstest du auch alle Server und Clients untersuchen ob er nicht da was installiert hat wie VNC und Co.

Ist geplant

 

sollte der Ma nur freigestellt sein, hat er normalerweise das Anrecht dennoch seine Tätigkeit nachzugehen-aber das klingt ja nach einer fristlosen Kündigung ohne Frist und Freistellung...

 

Sehr sonderbar alles ... ;)

Jo, hab ich auch noch nicht erlebt. Scheint aber ernst zu sein.... Keine Ahnung... vieleicht was psychisches.... kann ich mir sonst nicht erklären. Sollte mann irgend einen Schaden anrichten, ist man doch sofort weg vom Fenster. Strafrechtlich, wie beruflich. Nun ja, ist ja erst mal ne Anfrage, um den Aufwand und das Risiko abzuschätzen...   Danke!

bearbeitet von dvbuddy
Link zu diesem Kommentar

sollte der Ma nur freigestellt sein, hat er normalerweise das Anrecht dennoch seine Tätigkeit nachzugehen-...

 

Es erstaunt mich doch sehr.

 

Ein freigetellter MA gibt die Schlüssel ab, den Transponder, das Token, den Sicherheitsausweis, wird im AD deaktiviert. Ihm wird der Zugang zum Gelände, den Gebäuden, den Büros verwehrt. Die persönlichen Dinge aus dem Spind und dem Schreibtisch werden ihm zugestellt. Und das betrifft nicht nur niedere Chargen, das kann auch einem GF passieren.

bearbeitet von lefg
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...