dvbuddy 14 Geschrieben 26. Mai 2016 Melden Teilen Geschrieben 26. Mai 2016 Hallo, ich hab eine Anfrage, den Admin einer Firma sicher auszusperren, da bei ihm eine "Kurzschlußreaktion" nicht ausgeschlossen werden kann.... Worauf muß ich achten? Ich weis nichts von der Firma. Internetverbindung trennen > Router PW ändern und VPN´s ändern DASI Kontrollieren + Eine aktuelle Vollsicherung außer Haus Onlinepasswörter ändern Remotesoftware auf Servern und Clients ändern oder entfernen Alle Benutzerpasswörter im AD ändern Mail des Admins deaktivieren (beim Provider, wenn kein eigener Mailserver vorhanden) DOMADMIN Gruppe überprüfen und anpassen Schlüssel des Gebäudes werden gewechselt Mitarbeiter explizit eine Verpflichtungserklärung unterzeichnen lassen, mit beruflichem Kontaktverbot? (nur sone Idee zur Abschreckung) Woran hab ich nicht gedacht? Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 26. Mai 2016 Melden Teilen Geschrieben 26. Mai 2016 Nichts dergleichen. Sollte was passieren ist das eine Sache für die Polizei und einen Anwalt. Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 26. Mai 2016 Melden Teilen Geschrieben 26. Mai 2016 Anwalt zurate ziehen! Du kannst dir nie zu 100% sicher sein, dass er sich nicht doch irgendwo eine Backdoor eingebaut hat. Jeden Abend eine Vollsicherung offline Bereitstellen (sofern möglich). Mitarbeiter explizit eine Verpflichtungserklärung unterzeichnen lassen, mit beruflichem Kontaktverbot? (nur sone Idee zur Abschreckung) Keine Ahnung ob sowas möglich ist. Kann ja gleichzeitig auch mit dem Anwalt abgeklärt werden. Keine Rechtsberatung im Forum. Zitieren Link zu diesem Kommentar
dvbuddy 14 Geschrieben 26. Mai 2016 Autor Melden Teilen Geschrieben 26. Mai 2016 Vorbeugen ist ja bekanntlich besser. Rechtlich ist das ja eine Eindeutige Sache! (das mit der Verpflichtungserklärung war nur sone Idee von mir... Klären wir ab) Die Firma möcht natürlich, einen Schaden gar nicht erst entstehen lassen! Was nützt es rechtlich sicher zu sein, wenn ein möglicher! Schaden so hoch ist, das man das nicht verkraften kann. Sicherung ist klar... wie die Möglichkeiten sind, weis ich ja noch nicht... Ich hoffe, das es bei einer Vorsichtsmaßnahme bleibt und alles normal abläuft. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 26. Mai 2016 Melden Teilen Geschrieben 26. Mai 2016 Alle Benutzerpasswörter im AD ändern Nicht vergessen auch das krbtgt-Password zweimal zu ändern. Bei größeren Umgebungen mit mehreren/ vielen DCs am besten per Skript. Das Skript repliziert die Änderung schneller und zuverlässiger, als es bei einem manueller Reset geschehen würde. https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51 Stichwort: Golden Ticket Den Vorfall nutzen, um euer Securitykonzept überprüfen zu lassen, ist sicher sinnvoll. Es ist ja nichts anderes wie : "Trojaner im Netzwerk entdeckt, wie reagieren wir auf einen derartigen Incident". Einen solchen Prozess auszuarbeiten, ist keine verlorene Investition! blub 1 Zitieren Link zu diesem Kommentar
dvbuddy 14 Geschrieben 26. Mai 2016 Autor Melden Teilen Geschrieben 26. Mai 2016 Nicht vergessen auch das krbtgt-Password zweimal zu ändern. Bei größeren Umgebungen mit mehreren/ vielen DCs am besten per Skript. Das Skript repliziert die Änderung zuverlässiger, als es bei einem manueller Reset geschehen würde. https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51 Stichwort: Golden Ticket Danke für den Tip... hab mal in unserer Domäne geschaut. Da ist der krbtgt Account deaktiviert ... (2012R2) Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 26. Mai 2016 Melden Teilen Geschrieben 26. Mai 2016 (bearbeitet) Der ist Default deaktiviert. Hat nichts zu sagen. Mit dem Konto soll man sich ja auch nicht anmelden. Works as designed bearbeitet 26. Mai 2016 von ChrisRa Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 26. Mai 2016 Melden Teilen Geschrieben 26. Mai 2016 der Account ist immer deaktiviert, wird dennoch zum Erstellen aller Kerberos TGT-Tickets verwendet. Das Passwort bzw. der Hash daraus, ist das wichtigste PW in der ganzen Domäne und das Ziel jedes etwas versierteren Angreifers! Bitte ändere es zweimal, prüfe aber vorher, dass die Replikation in der Domäne absolut fehlerfrei funktioniert! Zitieren Link zu diesem Kommentar
dvbuddy 14 Geschrieben 26. Mai 2016 Autor Melden Teilen Geschrieben 26. Mai 2016 Wusste nicht, des es immer mit deaktiviertem Konto läuft... Danke Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 26. Mai 2016 Melden Teilen Geschrieben 26. Mai 2016 dann müsstest du auch alle Server und Clients untersuchen ob er nicht da was installiert hat wie VNC und Co. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 26. Mai 2016 Melden Teilen Geschrieben 26. Mai 2016 Mitarbeiter explizit eine Verpflichtungserklärung unterzeichnen lassen, mit beruflichem Kontaktverbot? (nur sone Idee zur Abschreckung) Da hole man mal qualifizierten Rechtsrat! Ich haltre solche Idee für hochbedebklich. Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 26. Mai 2016 Melden Teilen Geschrieben 26. Mai 2016 (bearbeitet) sollte der Ma nur freigestellt sein, hat er normalerweise das Anrecht dennoch seine Tätigkeit nachzugehen-aber das klingt ja nach einer fristlosen Kündigung ohne Frist und Freistellung... Sehr sonderbar alles ...;) bearbeitet 26. Mai 2016 von PowerShellAdmin Zitieren Link zu diesem Kommentar
dvbuddy 14 Geschrieben 27. Mai 2016 Autor Melden Teilen Geschrieben 27. Mai 2016 (bearbeitet) Da hole man mal qualifizierten Rechtsrat! Ich haltre solche Idee für hochbedebklich. Schon verworfen ;-) dann müsstest du auch alle Server und Clients untersuchen ob er nicht da was installiert hat wie VNC und Co. Ist geplant sollte der Ma nur freigestellt sein, hat er normalerweise das Anrecht dennoch seine Tätigkeit nachzugehen-aber das klingt ja nach einer fristlosen Kündigung ohne Frist und Freistellung... Sehr sonderbar alles ... ;) Jo, hab ich auch noch nicht erlebt. Scheint aber ernst zu sein.... Keine Ahnung... vieleicht was psychisches.... kann ich mir sonst nicht erklären. Sollte mann irgend einen Schaden anrichten, ist man doch sofort weg vom Fenster. Strafrechtlich, wie beruflich. Nun ja, ist ja erst mal ne Anfrage, um den Aufwand und das Risiko abzuschätzen... Danke! bearbeitet 27. Mai 2016 von dvbuddy Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 28. Mai 2016 Melden Teilen Geschrieben 28. Mai 2016 Finger weg von solchen Kunden. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 28. Mai 2016 Melden Teilen Geschrieben 28. Mai 2016 (bearbeitet) sollte der Ma nur freigestellt sein, hat er normalerweise das Anrecht dennoch seine Tätigkeit nachzugehen-... Es erstaunt mich doch sehr. Ein freigetellter MA gibt die Schlüssel ab, den Transponder, das Token, den Sicherheitsausweis, wird im AD deaktiviert. Ihm wird der Zugang zum Gelände, den Gebäuden, den Büros verwehrt. Die persönlichen Dinge aus dem Spind und dem Schreibtisch werden ihm zugestellt. Und das betrifft nicht nur niedere Chargen, das kann auch einem GF passieren. bearbeitet 28. Mai 2016 von lefg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.