Jump to content

Anmelden von Nutzern überwachen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe heute mal eine Frage, welche sich vielleicht nicht direkt auf den Privatuser Bereich übertragen lässt, aber vielleicht hat trotzdem jemand eine Idee.

 

Wir bieten Kunden Server (Physikalische Maschine) komplett als Managed Service an. Heißt der Kunde bezahlt im Monat Betrag XY und wir verwalten die Kiste zu 100%. Wenn wir eine solche Kiste bei einem Kunden aufstellen, bekommen die entsprechenden Ansprechpartner in einem Versiegelten Umschlag das Kennwort für einen Notfall-Admin User auf dem Server. In den MS-Verträgen steht dann bei uns, dass sobald dieser Umschlag geöffnet und das Kennwort verwendet wird, wir sämtliche Pflichten und Haftung umgehend abgeben. (Verkürzt: Kunde meldet sich mit dem Kennwort als Admin an, macht was kaputt -> Nicht mehr unser Problem). Das Problem dabei ist die Überwachung von dem ganzen. Aktuell lassen wir uns bei vor-Ort Einsätzen den Umschlag zeigen und prüfen, ob die Siegel noch vorhanden sind. Allerdings ist das bei weiter entfernten Kunden, oder bei welchen, bei denen vor-Ort Einsätze nicht oft notwendig sind sehr dünn. Da schaut sich vielleicht einmal im Jahr jemand den Umschlag an.

 

Daher die Frage: Bietet Windows Server eine Art "Siegel" auf Benutzerkonten? Gedacht hatte ich mir sowas in der Art, dass sobald sich dieser "Notfalladmin" auf dem System anmeldet, dies irgendwo vermerkt wird. In vielen Blogbeiträgen wird das mit einer Batch-Datei im Autostart gelöst, die dann einfach ein Textdokument irgendwohin legt von wegen "Notfalladmin hat sich angemeldet". Diese Lösung finde ich allerdings etwas dürftig, da diese Datei ja auch einfach wieder gelöscht werden kann. Heißt wir bräuchten so etwas wie einen "irreparablen" Wert, der sich nicht zurücksetzen lässt. Eine Idee war, zu überprüfen, ob der Benutzerordner auf C:\User\ erstellt wurde. Funktioniert an sich schon, da sich mit dem Notfallaccount nie einer von uns anmeldet, allerdings würden wir das Passwort für den Fall der Fälle schon einmal testen, was dann wiederum den Ordner anlegt.

 

Ich hoffe ihr wisst was ich meine. ;)

 

Kennt jemand einen entsprechenden Lösungsansatz?

 

Grüße!

Link zu diesem Kommentar
Gerade eben schrieb sgn9:

keine Fragen zum Thema Recht, [...] Mitarbeiterüberwachung.

Ich will ja niemanden überwachen (und schon gar keine Mitarbeiter), sondern nur sicher stellen, dass sich niemand an dem Server anmeldet, der es nicht darf.

 

Mitarbeiterüberwachung ist meiner Meinung nach "Ey Klaus, ich hab gesehen, du hast gestern um 17:32 ausgestempelt, aber dein Rechner war um 17:18 aus! Was hast du in der Zeit gemacht?"

Link zu diesem Kommentar

Moin,

 

das ganze Konstrukt ist unsinnig. Auch eine technische Lösung, wie sie dir vorschwebt, wird nicht mehr Verlässlichkeit bringen, denn wie du schon richtig sagst: Wenn ihr jemandem Adminrechte gebt, kann er seine Spuren verwischen, wenn er es drauf anlegt.

 

Wenn ihr also bei dem "Notfall-Admin"-Verfahren bleibt, werdet ihr mit einer Unschärfe leben müssen. Das Problem liegt nicht in der Umsetzung, sondern in dem Verfahren selbst.

 

Gruß, Nils

 

Link zu diesem Kommentar

Ob sich eine PAM-Lösung in den Umgebungen, die der OP meint, einfach installieren lässt? Und der Ressourcenverbrauch?

Kostenlos gibts die sicher auch nicht? Wird das ein Kunde zahlen?

 

Eine zweistufige Lösung (u.a. mit Taskplaner) kann schon funktionieren, solange das Mainboard einen auslesbarer Seriennummer o.ä. hat und der OP Zugriff auf einen Compiler hat. Kleine, halbwegs schlanke Lösung

Link zu diesem Kommentar

MonitoringHallo zusammen, vielen Dank für eure Antworten!

 

vor 16 Stunden schrieb NilsK:

Wenn ihr jemandem Adminrechte gebt, kann er seine Spuren verwischen, wenn er es drauf anlegt. 

Das Spiel können wir sowieso nicht gewinnen. Spätestens beim physikalischen Zugriff ist Ende. Grundlegend ging es uns darum, es dem "Kundenadmin" so schwer wie möglich zu machen. Diese tollen Logon Scripte, die eine Textdatei "Ich wurde um XX:XX angemeldet" anlegen, sind meiner Meinung nach deswegen ungeeignet, da sie den kompletten Pfad (und somit ja schon fast eine Anleitung zum Spuren verwischen) auf dem Silbertablett servieren.

 

vor 12 Stunden schrieb djmaker:

Anmeldescript welches eine Email an euch verschickt per Powershell

Das Problem hierbei ist, dass ich dem Script ein (verschlüsseltes) Passwort für den Mailserver mitgeben muss. Selbst wenn wir uns bei einem Free-Hoster der Wahl einen "Dumb-Account" für anlegen, steht einem Missbrauch auch Tür und Tor offen.

 

Was ist gestern beim stöbern noch gefunden habe: Man kann abfragen, wann sich ein Nutzer zuletzt an/abgemeldet hat (klick).

An sich wäre das schon das, was wir brauchen. Das Script binden wir in unser Monitorring mit ein, welches die Ausgaben des Scriptes überwacht.

 

Ich denke wir werden damit - und mit den von euch vorgeschlagenen Vorgehensweisen - ein bisschen experimentieren und mal schauen, was wir raus bekommen.

 

Grüße und Danke!

Link zu diesem Kommentar

Sobald sich der Kunde als Admin angemeldet hat, kann er tun, was er möchte. Das Logging muss vorher passieren.

 

Vorschlag: Beim Login des Benutzers läuft ein Script ab, welches folgendes erledigt:

1. Aufruf einer Website (eures Monitorings) in der Form "logger.aspx?kunde=meier". Diese Daten könnt ihr speichern und euch alarmieren lassen. So müssen keine E-Mail-Zugangsdaten hinterlergt werden.

2. Für den Fall, dass der Kunde den Internetzugang blockiert hat: Erstellung einer Logdatei an einem schwer auffindbaren Ort. Für die Paranoiden: mit Zeitstempel in der Vergangenheit. Alternativ ginge auch ein Key in der Registry.

3. Ganz wichtig: das Script löscht sich nach der Ausführung selbst.

Link zu diesem Kommentar

Hallo zusammen,

 

wir haben das nun erstmal wie folgt gelöst:

 

Unser Monitoring führt alle 15 Minuten das oben verlinkte Script aus und kuckt drauf, wann sich der NotfallAdmin das letzte mal ABgemeldet hat. Das ganze wird schwer zu verwischen sein, denn jedes mal, wenn sich der admin dann wieder abmeldet, wird der wert wieder neu geschrieben.

 

Unser Monitoring kennt den "Normalen" Wert, den das Script zurückgibt. Sobald der Wert abweicht -> Alarm. Somit müsste - sollte jemand wissen, wie man das Abmeldedatum ändert - den Wert auf die Minute genau anpassen. Ausstecken des Servers würde auch nicht wirklich funktionieren, da der Server dann bei uns im Monitoring in nen Timeout geht -> Alarm.

 

Wir werden das erstmal evaluieren und dann mal drüber sprechen, ob wir das weiträumig ausrollen.

 

Grüße!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...