Neo767 10 Geschrieben 12. Februar 2013 Melden Teilen Geschrieben 12. Februar 2013 HI, ich habe folgende Aufgabenstellung bekommen. Es sollen für (bestimmte) Notebook-User lokale Benutzer mit Administrationsrechten angelegt werden. Diese Lokale Benutzer sollen soweit überwacht werden, das alle Änderungen die lokal an dem Notebook durchgeführt werden, mitprotokolliert werden. Einschränkung: Es sollen nur diese speziellen lokalen Benutzer überwacht werden. Die Domänenbenutzer dürfen davon nicht betroffen sein. Kann ich das mit Windows (7) Boardmittel abbilden? Gruß Neo Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 12. Februar 2013 Melden Teilen Geschrieben 12. Februar 2013 Warum wollt ihr das überwachen? Was soll damit erreicht werden? Zitieren Link zu diesem Kommentar
Neo767 10 Geschrieben 12. Februar 2013 Autor Melden Teilen Geschrieben 12. Februar 2013 Es soll nachvollzogen werden welche Änderungen (Registry, Filesystem, Berechtigungen) durch diesen Adminuser durchgeführt werden. Wir möchten "verhindern" das die Leute den lokalen Adminuser dafür verwenden um z.B. lokal Software zu installieren bzw. Ihrem Domänen-Account lokale Adminrechte zu geben.... Im Normalfall benötigt ein User keine lokalen Admin-Rechte, jedoch müssen einige User Tools wie z.B. SNMP Scanner benutzen welcher Zwangsweise Lokale Admin-Rechte benötigt Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 12. Februar 2013 Melden Teilen Geschrieben 12. Februar 2013 Es soll nachvollzogen werden welche Änderungen (Registry, Filesystem, Berechtigungen) durch diesen Adminuser durchgeführt werden. Das kann nicht funktionieren. Was ist, wenn der lokale Benutzer sich einen neuen Account anlegt und damit alles ausführt? Dann bist Du ausgeschmiert. Ganz einfach, kein Vertrauen = kein Admin. Wir möchten "verhindern" das die Leute den lokalen Adminuser dafür verwenden um z.B. lokal Software zu installieren bzw. Ihrem Domänen-Account lokale Adminrechte zu geben.... Das kannst Du nicht verhindern, denn wenn sie Admin sind, deaktivieren sie die Überwachung. Ausserdem solltest Du den Betriebsrat und einen Anwalt hinzuziehen, MA-Überwachung kann ganz schnell nach hinten losgehen. Im Normalfall benötigt ein User keine lokalen Admin-Rechte, jedoch müssen einige User Tools wie z.B. SNMP Scanner benutzen welcher Zwangsweise Lokale Admin-Rechte benötigt Benötigen die Tools wirklich Adminrechte oder evtl. nur Schreibrechte an bestimmten Stellen? Letzteres kriegst Du mit dem Prozessmonitor von MS leicht raus. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 12. Februar 2013 Melden Teilen Geschrieben 12. Februar 2013 Moin, Im Normalfall benötigt ein User keine lokalen Admin-Rechte, jedoch müssen einige User Tools wie z.B. SNMP Scanner benutzen welcher Zwangsweise Lokale Admin-Rechte benötigt dann findet heraus, wie man diese Tools ohne Adminrechte verwendet oder welche Alternativen es gibt, die keine Adminrechte brauchen. Schöne Grüße, Nils Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 13. Februar 2013 Melden Teilen Geschrieben 13. Februar 2013 Ob der Benutzer wirklich "Administratorrechte" benötigt, ob nicht die eines Hauptbenutzeres ausreichen? Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 13. Februar 2013 Melden Teilen Geschrieben 13. Februar 2013 Hauptbenutzer ist quasi schon Administrator. Er muß es nur noch tun. Zitieren Link zu diesem Kommentar
DavidS 11 Geschrieben 13. Februar 2013 Melden Teilen Geschrieben 13. Februar 2013 Mit Boardmitteln ist mir keine Lösung bekannt. Für alles andere McAfee Change Control http://www.mcafee.com/de/products/change-control.aspx#vt=vtab-Overview Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 13. Februar 2013 Melden Teilen Geschrieben 13. Februar 2013 Ob der Benutzer wirklich "Administratorrechte" benötigt, ob nicht die eines Hauptbenutzeres ausreichen? Seit VISTA sind die Hauptbenutzer normale Benutzer. Es wird nur noch die SID aus Kompatibilitätsgründen mitgezogen. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 13. Februar 2013 Melden Teilen Geschrieben 13. Februar 2013 Moin, Für alles andere McAfee Change Control netter Ansatz, aber prinzipiell zum Scheitern verurteilt, sobald wir über lokale Administratoren reden. Schöne Grüße, Nils Zitieren Link zu diesem Kommentar
4077 30 Geschrieben 13. Februar 2013 Melden Teilen Geschrieben 13. Februar 2013 Ich werfe mal "PowerBroker" in den Ring. Damit kann man einzelnen Programmen Administratorberechtigungen zuweisen, die sonst nicht zur Mitarbeit bereit sind. Der Benutzer bleibt weiterhin Benutzer. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 13. Februar 2013 Melden Teilen Geschrieben 13. Februar 2013 (bearbeitet) Moin, Damit kann man einzelnen Programmen Administratorberechtigungen zuweisen, die sonst nicht zur Mitarbeit bereit sind. Der Benutzer bleibt weiterhin Benutzer. auch hübsch gedacht, aber unter "harten" Sicherheitsbedingungen untauglich. Wenn ein Prozess mit administrativen Rechten arbeitet, dann kann er diese an Kindprozesse weitergeben. Der User braucht also meist nur z.B. einen "Speichern"- oder "Öffnen"-Dialog, startet von dort einen anderen Prozess und kann sich selbst Adminrechte geben. Schöne Grüße, Nils bearbeitet 13. Februar 2013 von NilsK Zitieren Link zu diesem Kommentar
4077 30 Geschrieben 13. Februar 2013 Melden Teilen Geschrieben 13. Februar 2013 Wenn ein Prozess mit administrativen Rechten arbeitet, dann kann er diese an Kindprozesse weitergeben. Der User braucht also meist nur z.B. einen "Speichern"- oder "Öffnen"-Dialog, startet von dort einen anderen Prozess und kann sich selbst Adminrechte geben. Habe ich eben mit GIMP ausprobiert. Funktioniert nicht, weil es zum einen am Hash-Wert der exe festgemacht ist und zum anderen habe ich die Option "auch Programme erlauben, die von diesem Programm aufgerufen werden" (sinngemäß übersetzt) nicht aktiviert. Ich werde es weiter testen. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 13. Februar 2013 Melden Teilen Geschrieben 13. Februar 2013 Moin, Habe ich eben mit GIMP ausprobiert. Funktioniert nicht, weil es zum einen am Hash-Wert der exe festgemacht ist und zum anderen habe ich die Option "auch Programme erlauben, die von diesem Programm aufgerufen werden" (sinngemäß übersetzt) nicht aktiviert. hm, okay, dann ist es wohl recht pfiffig implementiert. OK, dann verdient es doch einen näheren Blick. Ich hatte hier Erfahrungen mit sehr einfachen Implementierungen auf diesen Fall übertragen. Schöne Grüße, Nils Zitieren Link zu diesem Kommentar
Neo767 10 Geschrieben 19. Februar 2013 Autor Melden Teilen Geschrieben 19. Februar 2013 HI, danke für die Antworten. Die Anforderung die ich bekommen habe, weißt explizit eigene lokale Administrationsbenutzer aus. Und auch nur diese sollten überwacht werden. Wenn dieser User einem anderen User lokale Admin-Rechte gibt, sollte dies geloggt werden. Ziel soll sein das der User nur mit dem ADM_User arbeitet und nicht seinen Domänen Account zum Admin macht. Ich werde mir die Lösungen mal anschauen. Gruß Neo Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.