Jump to content

Mit möglichst wenig Rechten aber produktiv unterwegs sein.


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich wollte mal von euch wissen wir ihr in der Domäne unterwegs seid. Welche Art von Accounts benutzt ihr für welche Aufgaben um im Fall der Fälle wenigstmöglich kaputt zu machen?

Zum Beispiel zum anpassen von Servereinstellungen.

Nutzt ihr einen AD-Admin Account zur Anmeldung? Oder einen AD-Admin Account um einem lokalen oder normalen AD-User temporär zum Admin zu machen? Oder einen lokalen Admin generell? Oder seid ihr immer ohne Rechte unterwegs und führt nur nötige Aufgaben mit Rechten eines AD/lokalen Admins aus? Es gibt so viele sichere und unsichere Kombinationen....

Und macht ihr in bestimmten Situationen etwas anders als sonst? Beispielsweise bei Backupservern...

 

Hatte neulich ein Gespräch mit anderen Admins, hier waren die Meinungen im Bezug auf Ransomware usw. schon sehr unterschiedlich.

Link zu diesem Kommentar

So wenig Rechte wie möglich, so viel wie nötig. Ganz so einfach ist es.

 

Ein Baustein gegen Ransomsoftware ist auch Applocker, bzw. sind die Software Restriction Policies.

 

EDIT: Personalisierte Accounts in unterschiedlichen Rollen sind beins im Einsatz, das wollte ich eigentlich damit ausdrücken.

bearbeitet von Sunny61
Link zu diesem Kommentar

Wir führen bei unseren Kunden mehrere Accounts ein. Einen normalen User, einen AD Admin User, einen Server Admin User und einen Client Admin User.

Je nach Funktion hat ein Admin mehrere dieser Accounts. Es wird auch so beschränkt, dass sich der AD Admin und Server Admin nicht auf Clients einloggen dürfen und mit den anderen Rollen entsprechend anders. Für den Wechsel zwischen den Zonen gibt es dann dedizierte Admin Maschinen oder Sprungserver (RDS).

Link zu diesem Kommentar

Moin,

 

die Konten- und Rollentrennung ist ein sinnvoller Ansatz. Sinn ergibt das aber nur, wenn man es ordentlich plant und organisatorisch verankert. Ein erster Schritt besteht darin, die Rollen ausführlich zu definieren und davon abzuleiten, welche Berechtigungen tatsächlich nötig sind. Man kommt dann i.d.R. schnell zu der Einsicht, dass man fast keine Domänen-Admins braucht, weil kaum eine Aufgabe das wirklich braucht.

 

Eine Erweiterung des Ansatzes ist "Administrative Tiering", in dem man Server und Clients in mehrere Sicherheitszonen einteilt (gängiger Aufbau sind drei Zonen) und über Berechtigungen, Anmeldebschränkungen usw. sicherstellt, dass ein Admin-Account sich immer nur in einer bestimmten Zone anmelden kann. Wer Arbeiten in mehr als einer Zone zu erledigen hat, braucht dann pro Zone einen separaten Account. (Ich nehme mal an, dass Dukel sowas auch meint.)

 

Ich verstehe es hoffentlich richtig, dass hier von Rollen die Rede ist, nicht von gemeinsam genutzten Accounts? In so einem Konstrukt darf man nur mit personalisierten Konten arbeiten, niemals mit gemeinsam genutzten Konten. Sonst kann man sich den ganzen Aufwand sparen.

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...