friesk 12 Geschrieben 18. März 2015 Melden Teilen Geschrieben 18. März 2015 In etwa auf dieser Ebene befindet sich die Situation hier bei meinem Einsatz-Fall. Danke an alle für den Input und die Fallbeispiele. Mir ist bewusst, dass es anders besser / ideal wäre, aber ich muss hier mit dem arbeiten was mir vorgegeben wurde, obwohl ich es gern anders hätte. Hallo, mach es wie ich: Aktennotiz, bzw. Mail die GL/Chef. Klarstellen wer welchen Unsinn anstellt, Verantwortung abgeben durch Beachtung "Ober sticht Unter" und immer darauf achten diese wichtigen Unterlagen in Kopie zu behalten. Irgendwann geht so etwas immer schief, "Adminrechte" für jedermann! Hauptsache Du bist aus der Nummer raus. Klaus Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 19. März 2015 Melden Teilen Geschrieben 19. März 2015 Dazu müsste der Anwender ein bisschen über das normale Maß herausgehende Wissen haben. Das kann ich so nicht stehen lassen... Zahni hat Recht: Es reicht, wenn der Angreifer dieses Wissen hat und programmatisch umsetzt. Der Anwender hat nichts damit zu tun, bekommt es nicht mal mit - nur ist er halt aufgrund "ungünstiger" Verfahrensweisen Admin... Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 19. März 2015 Melden Teilen Geschrieben 19. März 2015 Naja, ach ich sag nix... ;) Zitieren Link zu diesem Kommentar
zurgel 10 Geschrieben 19. März 2015 Autor Melden Teilen Geschrieben 19. März 2015 Aktennotiz, bzw. Mail die GL/Chef. [...] Danke für den Hinweis! :) Genau so habe ich es vor einigen Monaten gemacht. Die Flash-Sache kommt jetzt halt nur zufällig mit drauf. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 20. März 2015 Melden Teilen Geschrieben 20. März 2015 (bearbeitet) Ob sich einzelne Benutzer aber tatsächlich von etwas abhalten lassen, wenn sie meinen, ein unabwendbares Bedürfnis zu haben? Was ich sagen will, man sollte nicht an den Benutzern, deren Verständnis vorbei bestimmen. Geht es ohne Flash Player? Gibt es eine Alternative? bearbeitet 20. März 2015 von lefg Zitieren Link zu diesem Kommentar
Lian 2.421 Geschrieben 20. März 2015 Melden Teilen Geschrieben 20. März 2015 "Ein Admin ist ein Admin, ist ein Admin." Das hat nichts damit zu tun, dass jemand bewusst Schaden anrichtet, sondern damit, dass die Möglichkeit besteht. Wenn ein Anwender keine Adminrechte hat, gibt man ihm auch ein Stück weit Sicherheit nichts gravierendes zu "zerstören". Sinnvoll finde ich eine Regelung über zwei Konten: Ein Anwenderkonto und -wenn es sein muss- eines mit Adminrechten. Ab Windows 7 mit UAC ist das komfortabel gelöst - einfach die Adminkennung in das UAC Fenster eingeben. Zumindest ist es eine weitere Hürde und evtl. kann man die Diskussion nochmal anstoßen, ob alle Anwender tatsächlich lokale Admins sein müssen. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 20. März 2015 Melden Teilen Geschrieben 20. März 2015 Die Regelung mit zwei Konten ist aber auch nur ne Krücke. Wenn mir das angeboten würde, wäre einer der ersten Schritte Konto Nummer1 in die lokalen Admins zu packen. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 20. März 2015 Melden Teilen Geschrieben 20. März 2015 Meistens müssen die Benutzer lokale Adminrechte haben weil es eine Software gibt, die für Windows 95 oder 98 erstellt wurde. Brain Bee (Abgasuntersuchung für KFZ) ist so ein Kandidat, die Daten werden immer noch in INI-Dateien geschrieben, die INI müssen natürlich im Programmverzeichnis liegen. Gibt man dem betroffenen Benutzer einfach nur Schreibrechte auf dieses Verzeichnis, funktioniert alles wie gewünscht. Mit Hilfe des Process Monitor lässt sich so etwas natürlich schön finden, aber den kennt eben nicht jeder. Und da ist viel einfacher dem Benutzer Adminrechte zu geben, schon kann er arbeiten und der zuständige Admin hat seine Ruhe. ;) Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 21. März 2015 Melden Teilen Geschrieben 21. März 2015 Ja, Sunny, so ist das :) Ein paar wissen Bescheid, der Rest hilft einem Botnetz :D Zitieren Link zu diesem Kommentar
Lian 2.421 Geschrieben 24. März 2015 Melden Teilen Geschrieben 24. März 2015 Wenn mir das angeboten würde, wäre einer der ersten Schritte Konto Nummer1 in die lokalen Admins zu packen. Das lässt sich sehr einfach über GPOs verhindern. Es ist immer noch ein besserer Ansatz, als jeden Anwender als lokalen Admin auf einem Unternehmens-PC zu belassen. Eine Krücke ist das allemal, aber zumindest eine organisatorische Trennung der Aufgaben. Als IT-Mitarbeiter mit Adminrechten in einer Domäne hat man sowieso mindestens zwei Konten, ich hoffe niemand meldet sich mit dem Domänen-Admin oder dem Organisations-Admin an einem PC an und arbeitet damit seine reguläre Post ab. Gibt man dem betroffenen Benutzer einfach nur Schreibrechte auf dieses Verzeichnis, funktioniert alles wie gewünscht. Mit Hilfe des Process Monitor lässt sich so etwas natürlich schön finden, aber den kennt eben nicht jeder. Und da ist viel einfacher dem Benutzer Adminrechte zu geben, schon kann er arbeiten und der zuständige Admin hat seine Ruhe. ;) Das wäre doch eine sinnvolle Lösung für den TO :) Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 24. März 2015 Melden Teilen Geschrieben 24. März 2015 Das lässt sich sehr einfach über GPOs verhindern. Nein. WEnn ich lokaler Admin bin, interessieren mich GPOs nur so lange, wie ich nicht gewillt bin sie abzuschalten. ;) Es ist immer noch ein besserer Ansatz, als jeden Anwender als lokalen Admin auf einem Unternehmens-PC zu Eine Krücke ist das allemal, aber zumindest eine organisatorische Trennung der Aufgaben. Naja, was hilfts? Als IT-Mitarbeiter mit Adminrechten in einer Domäne hat man sowieso mindestens zwei Konten, ich hoffe niemand meldet sich mit dem Domänen-Admin oder dem Organisations-Admin an einem PC an und arbeitet damit seine reguläre Post ab. Als IT-Mitarbeiter erwarte ich auch entsprechendes Verständnis warum das in dem Fall logischerweise so ist. Einem normalen Nutzer der zu Hause Windows XP oder 7 ohne UAC nutzt wirst du da schwer überzeugen können. Der kommt mit seinen Problemen nicht zu dir, sondern läßt sie sich vom Nachbarstudenten lösen. ;) Das wäre doch eine sinnvolle Lösung für den TO :) Naja. Bye Norbert Zitieren Link zu diesem Kommentar
Lian 2.421 Geschrieben 24. März 2015 Melden Teilen Geschrieben 24. März 2015 Nein. WEnn ich lokaler Admin bin, interessieren mich GPOs nur so lange, wie ich nicht gewillt bin sie abzuschalten. ;)Das grenzt schon fast an Sabotage... :D Naja, was hilfts?Es bietet ein gutes Stück mehr Sicherheit und verhindert ggf., dass der Anwender "aus Versehen" sein System schrottet. Was schlägst Du denn vor? :) Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 24. März 2015 Melden Teilen Geschrieben 24. März 2015 Es ist ein Workaround der alles andere als sicher ist. Mein Vorschlag ist, das Problem der lokalen Adminrechte zu beseitigen. Die müssen aus irgendeinem Grund ja "vergeben" worden sein. Wenn der Grund nicht mehr existiert, gibt's auch keinen Grund für lokale Adminrechte. ;) Bye Norbert Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 24. März 2015 Melden Teilen Geschrieben 24. März 2015 Nach meiner Erfahrung bekommt man fast jede Anwendung zum Laufen. Eine Ausnahme sind Programme, die irgendwelche "Schweinereien" wie dynamisch Treiber laden oder Dienste starten machen. Die fallen dann wohl durch die Validierung ;) Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 24. März 2015 Melden Teilen Geschrieben 24. März 2015 "Dienste starten" kriegt man notfalls ja auch noch ohne Adminrechte in den Griff :) Für unsere Kunden gibt's dafür einen Validierungsprozess, der entscheidet, was eingesetzt werden darf und was nicht. Da fällt vieles durch... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.