Jump to content

Überwachung lokaler Administrationsbenutzer

Neo767

Von Neo767
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Neo767 Apprentice

Neo767   10

Geschrieben
Geschrieben

HI,

 

ich habe folgende Aufgabenstellung bekommen.

 

Es sollen für (bestimmte) Notebook-User lokale Benutzer mit Administrationsrechten angelegt werden.

Diese Lokale Benutzer sollen soweit überwacht werden, das alle Änderungen die lokal an dem Notebook durchgeführt werden, mitprotokolliert werden.

 

Einschränkung:

Es sollen nur diese speziellen lokalen Benutzer überwacht werden. Die Domänenbenutzer dürfen davon nicht betroffen sein.

 

Kann ich das mit Windows (7) Boardmittel abbilden?

 

Gruß

 

Neo

Link zu diesem Kommentar
Neo767 Apprentice

Neo767   10

Geschrieben
  • Autor
Geschrieben

Es soll nachvollzogen werden welche Änderungen (Registry, Filesystem, Berechtigungen) durch diesen Adminuser durchgeführt werden.

 

Wir möchten "verhindern" das die Leute den lokalen Adminuser dafür verwenden um z.B. lokal Software zu installieren bzw. Ihrem Domänen-Account lokale Adminrechte zu geben....

 

Im Normalfall benötigt ein User keine lokalen Admin-Rechte, jedoch müssen einige User Tools wie z.B. SNMP Scanner benutzen welcher Zwangsweise Lokale Admin-Rechte benötigt

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   785

Geschrieben
Geschrieben

Es soll nachvollzogen werden welche Änderungen (Registry, Filesystem, Berechtigungen) durch diesen Adminuser durchgeführt werden.

Das kann nicht funktionieren. Was ist, wenn der lokale Benutzer sich einen neuen Account anlegt und damit alles ausführt? Dann bist Du ausgeschmiert. Ganz einfach, kein Vertrauen = kein Admin.

 

Wir möchten "verhindern" das die Leute den lokalen Adminuser dafür verwenden um z.B. lokal Software zu installieren bzw. Ihrem Domänen-Account lokale Adminrechte zu geben....

Das kannst Du nicht verhindern, denn wenn sie Admin sind, deaktivieren sie die Überwachung. Ausserdem solltest Du den Betriebsrat und einen Anwalt hinzuziehen, MA-Überwachung kann ganz schnell nach hinten losgehen.

 

 

Im Normalfall benötigt ein User keine lokalen Admin-Rechte, jedoch müssen einige User Tools wie z.B. SNMP Scanner benutzen welcher Zwangsweise Lokale Admin-Rechte benötigt

Benötigen die Tools wirklich Adminrechte oder evtl. nur Schreibrechte an bestimmten Stellen? Letzteres kriegst Du mit dem Prozessmonitor von MS leicht raus.

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.831

Geschrieben
Geschrieben

Moin,

 

Im Normalfall benötigt ein User keine lokalen Admin-Rechte, jedoch müssen einige User Tools wie z.B. SNMP Scanner benutzen welcher Zwangsweise Lokale Admin-Rechte benötigt

 

dann findet heraus, wie man diese Tools ohne Adminrechte verwendet oder welche Alternativen es gibt, die keine Adminrechte brauchen.

 

Schöne Grüße, Nils

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.831

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

Damit kann man einzelnen Programmen Administratorberechtigungen zuweisen, die sonst nicht zur Mitarbeit bereit sind.

Der Benutzer bleibt weiterhin Benutzer.

 

auch hübsch gedacht, aber unter "harten" Sicherheitsbedingungen untauglich. Wenn ein Prozess mit administrativen Rechten arbeitet, dann kann er diese an Kindprozesse weitergeben. Der User braucht also meist nur z.B. einen "Speichern"- oder "Öffnen"-Dialog, startet von dort einen anderen Prozess und kann sich selbst Adminrechte geben.

 

Schöne Grüße, Nils

bearbeitet von NilsK
Link zu diesem Kommentar
4077 Experienced

4077   30

Geschrieben
Geschrieben

Wenn ein Prozess mit administrativen Rechten arbeitet, dann kann er diese an Kindprozesse weitergeben. Der User braucht also meist nur z.B. einen "Speichern"- oder "Öffnen"-Dialog, startet von dort einen anderen Prozess und kann sich selbst Adminrechte geben.

Habe ich eben mit GIMP ausprobiert. Funktioniert nicht, weil es zum einen am Hash-Wert der exe festgemacht ist und zum anderen habe ich die Option "auch Programme erlauben, die von diesem Programm aufgerufen werden" (sinngemäß übersetzt) nicht aktiviert.

Ich werde es weiter testen.

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.831

Geschrieben
Geschrieben

Moin,

 

Habe ich eben mit GIMP ausprobiert. Funktioniert nicht, weil es zum einen am Hash-Wert der exe festgemacht ist und zum anderen habe ich die Option "auch Programme erlauben, die von diesem Programm aufgerufen werden" (sinngemäß übersetzt) nicht aktiviert.

 

hm, okay, dann ist es wohl recht pfiffig implementiert. OK, dann verdient es doch einen näheren Blick.

 

Ich hatte hier Erfahrungen mit sehr einfachen Implementierungen auf diesen Fall übertragen.

 

Schöne Grüße, Nils

Link zu diesem Kommentar
Neo767 Apprentice

Neo767   10

Geschrieben
  • Autor
Geschrieben

HI,

 

danke für die Antworten.

 

Die Anforderung die ich bekommen habe, weißt explizit eigene lokale Administrationsbenutzer aus. 

Und auch nur diese sollten überwacht werden.

Wenn dieser User einem anderen User lokale Admin-Rechte gibt, sollte dies geloggt werden.

 

Ziel soll sein das der User nur mit dem ADM_User arbeitet und nicht seinen Domänen Account zum Admin macht.

 

Ich werde mir die Lösungen mal anschauen.

 

Gruß

 

Neo

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...