Jump to content

lokale Userverwaltung sperren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

Wo kann man die Berechtigungen für die lokale Userkontenverwaltung setzen. Offenbar haben Administratoren change-rechte, normale User nur lesen-rechte. Ich möchte erreichen, dass normale User die lokalen Accountverwaltung gar nicht erreichen können, weder per lokaler GUI, per Code, noch remote. Brauchen und sollen sie nicht.

 

Merci

carnivore

 

Link zu diesem Kommentar

Offenbar haben Administratoren change-rechte

Nee Administratoren haben Administratoren-Rechte. Irgendwie logisch oder? Und wenn das ein Problem darstellt, solltest du ihnen die Rechte nehmen. Alles andere ist an der Stelle nur Makulatur.

Leserechte für User sind für mich nicht wirklich kritisch, weil in der lokalen Accountverwaltung eigentlich nichts wirklich wichtiges zu finden ist. Was genau stört dich daran?

 

Bye

Norbert

Link zu diesem Kommentar

Moin,

 

in der lokalen Accountverwaltung kann man keine granularen Rechte setzen. User können die lokalen Konten (lesend) abfragen, das ist gewünscht, weil sie nur so ja z.B. Berechtigungen setzen können.

Die Frage wäre eher, warum es bei euch lokale Accounts gibt und - wie Norbert schon fragt - warum es kritisch ist, dass man die sieht.

 

Wenn es um die Remote-Abfrage geht, dafür gibt es Ansätze.

https://gallery.technet.microsoft.com/SAMRi10-Hardening-Remote-48d94b5b

 

Gruß, Nils

Link zu diesem Kommentar

Danke für den Link. Das müssen wir uns auf jeden Fall ansehen!

 

zum Warum: Es gibt leider nicht nur nette Kollegen auf der Welt. In der lokalen Administratorengruppe sieht ein weniger netter Kollege auch als User sofort, auf welche Accounts oder Gruppen es sich lohnt loszugehen. Diese Accounts (Helpdesk, Installationsaccounts, etc) haben Zugriff nicht nur auf einen, sondern auf viele Clients. 

 

User dürfen bei uns auf ihren Clients keine Shares anlegen oder Berechtigungen vergeben. Daher ist die Information aus der Userverwaltung vollkommen uninteressant für loyale User, aber ein interessanter Hint für weniger loyale Nutzer.

bearbeitet von carnivore
Link zu diesem Kommentar

Moin,

 

ich verstehe die Bedenken, aber auf dem Weg werdet ihr nicht weit kommen. Die Ansicht lokaler Konten lässt sich nicht sperren. Höchstens die Remote-Abfrage, aber gerade in deinem Szenario bringt das auch nicht viel.

 

Der wesentlich bessere Weg ist, die kritischen Konten, die du ansprichst, ordentlich abzusichern und ggf. Angriffsversuche (fehlgeschlagene Logins) zu überwachen. Zudem solltet ihr die Mitgliedschaft in lokalen Administratorgruppen nicht für Useraccounts vorsehen, sondern nur für Gruppen - eine oder zwei reichen normalerweise aus. Das ist nicht nur weniger leicht auszuforschen (eine AD-Gruppe beispielsweise lässt sich per Berechtigungen vor neugierigen Blicken schützen), sondern auch leichter zu verwalten.

 

Ich werf dann aber noch mal dies in den Raum:

 

[DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net]
http://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/

 

Gruß, Nils

Link zu diesem Kommentar

Moin,

 

ich verstehe die Bedenken, aber auf dem Weg werdet ihr nicht weit kommen. Die Ansicht lokaler Konten lässt sich nicht sperren. Höchstens die Remote-Abfrage, aber gerade in deinem Szenario bringt das auch nicht viel.

 

Der wesentlich bessere Weg ist, die kritischen Konten, die du ansprichst, ordentlich abzusichern und ggf. Angriffsversuche (fehlgeschlagene Logins) zu überwachen. Zudem solltet ihr die Mitgliedschaft in lokalen Administratorgruppen nicht für Useraccounts vorsehen, sondern nur für Gruppen - eine oder zwei reichen normalerweise aus. Das ist nicht nur weniger leicht auszuforschen (eine AD-Gruppe beispielsweise lässt sich per Berechtigungen vor neugierigen Blicken schützen), sondern auch leichter zu verwalten.

 

Ich werf dann aber noch mal dies in den Raum:

 

[DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net]

http://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/

 

Gruß, Nils

 

Wenn es nicht geht, muss man es akzeptieren.

 

Es ist nicht so, dass unsere Konten vollkommen ungeschützt sind.

Gegen eine einfache "DOS-Attacke für jedermann", wie du sie in deinem Artikel beschreibst, haben wir Schutz-Mechanismen. Die werden nicht gegen alle denkbaren DOS-Varianten helfen, aber gegen die "Einfachen".

bearbeitet von carnivore
Link zu diesem Kommentar

Moin,

 

Wenn es nicht geht, muss man es akzeptieren.

 

... oder es richtig machen - einen Weg dazu habe ich oben beschrieben.

 

Und was die "Schutz-Mechanismen" gegen den Angriff aus meinem Artikel angeht: Es gibt genau einen, der sinnvoll ist, und das ist der Verzicht auf automatische Kontensperrung.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

Wie denn, wenn man fragen darf.

Genau kann ich es dir nicht sagen, aber es sind IDS/ IPS (Intrusion Detection/ Protection Systeme), die bei gewissen Patterns aktiv werden.

Googel einfach danach, da gibt's genügend Anbieter.

 

@Nils, du kennst dich mit Sicherheit 100-mal besser mit Windows aus als ich. Die gängigen Industriestandards der IT legen trotzdem einen lockout nach einer bestimmten Anzahl von Fehlversuchen nahe.

Standards bewusst zu unterschreiten, kann gefährlich werden. Da geht's dann um Haftung. (hier kenne ich mich jetzt vielleicht besser aus :-) )

bearbeitet von carnivore
Link zu diesem Kommentar

Moin,

 

@Nils, du kennst dich mit Sicherheit 100-mal besser mit Windows aus als ich. Die gängigen Industriestandards der IT legen trotzdem einen lockout nach einer bestimmten Anzahl von Fehlversuchen nahe.

 

so ohne Weiteres stimmt das nicht. Das wird zwar oft generalisierend so gesagt, aber bei näherer Betrachtung kann bzw. darf man das nicht einfach so anwenden. Betrachte etwa mein - bewusst simpel gehaltenes - DOS für Arme: Das setzt genau an dem Punkt an. Die Sperrung greift für die ganze Domäne, also auch für die wichtigen Konten. Man kann in fast allen Netzwerken ohne erhöhte Rechte sehr simpel erheblichen Schaden anrichten.

 

Kontensperrung soll schwache Kennwörter beherrschbar machen. Besser ist es also, keine schwachen Kennwörter zu nutzen, zumindest bei Diensten und hochprivilegierten Konten. Die werden in aller Regel von Leuten genutzt, denen man starke Kennwörter sehr wohl zumuten kann. Ist ein Kennwort stark, dann sind Brute-Force-Angriffe aussichtslos, und man kann sich das Sperren sparen.

 

Wenn überhaupt, dann sollte man Sperrungen nur in Kombination mit Fine-Grained Password Policies einsetzen. In dem Fall kann man für verschiedene Kontenklassen unterschiedliche Richtlinien innerhalb einer Domäne verwenden.

 

 

Standards bewusst zu unterschreiten, kann gefährlich werden. Da geht's dann um Haftung. (hier kenne ich mich jetzt vielleicht besser aus :-) )

 

Wenn man nach meiner Argumentation vorgeht, dann unterschreitet man die Standards nicht, sondern man übertrifft sie. Und ja, genau das muss man unter Umständen bewusst tun, wenn Standards ihre Aufgaben nicht erfüllen. Ein Standard, der Kontensperrungen nach (vielleicht auch noch wenigen) Fehleingaben pauschal vorschreibt, erfüllt seine Aufgabe nicht.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...