carnivore 10 Geschrieben 22. Dezember 2016 Melden Teilen Geschrieben 22. Dezember 2016 Hallo, Wo kann man die Berechtigungen für die lokale Userkontenverwaltung setzen. Offenbar haben Administratoren change-rechte, normale User nur lesen-rechte. Ich möchte erreichen, dass normale User die lokalen Accountverwaltung gar nicht erreichen können, weder per lokaler GUI, per Code, noch remote. Brauchen und sollen sie nicht. Merci carnivore Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 22. Dezember 2016 Melden Teilen Geschrieben 22. Dezember 2016 Von welcher Userkontenverwaltung sprichst Du? Am Server oder vom Client? Wenn Client dann hat der normale User nur Leserechte, was soll er kaputt machen? Oder hast Du Accounts die gar nicht auftauchen sollen? Dann nutze dafür KEINE lokalen Accounts, sondern AD-Accounts. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. Dezember 2016 Melden Teilen Geschrieben 22. Dezember 2016 Offenbar haben Administratoren change-rechte Nee Administratoren haben Administratoren-Rechte. Irgendwie logisch oder? Und wenn das ein Problem darstellt, solltest du ihnen die Rechte nehmen. Alles andere ist an der Stelle nur Makulatur. Leserechte für User sind für mich nicht wirklich kritisch, weil in der lokalen Accountverwaltung eigentlich nichts wirklich wichtiges zu finden ist. Was genau stört dich daran? Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 22. Dezember 2016 Melden Teilen Geschrieben 22. Dezember 2016 Moin, in der lokalen Accountverwaltung kann man keine granularen Rechte setzen. User können die lokalen Konten (lesend) abfragen, das ist gewünscht, weil sie nur so ja z.B. Berechtigungen setzen können. Die Frage wäre eher, warum es bei euch lokale Accounts gibt und - wie Norbert schon fragt - warum es kritisch ist, dass man die sieht. Wenn es um die Remote-Abfrage geht, dafür gibt es Ansätze. https://gallery.technet.microsoft.com/SAMRi10-Hardening-Remote-48d94b5b Gruß, Nils Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 22. Dezember 2016 Autor Melden Teilen Geschrieben 22. Dezember 2016 (bearbeitet) Danke für den Link. Das müssen wir uns auf jeden Fall ansehen! zum Warum: Es gibt leider nicht nur nette Kollegen auf der Welt. In der lokalen Administratorengruppe sieht ein weniger netter Kollege auch als User sofort, auf welche Accounts oder Gruppen es sich lohnt loszugehen. Diese Accounts (Helpdesk, Installationsaccounts, etc) haben Zugriff nicht nur auf einen, sondern auf viele Clients. User dürfen bei uns auf ihren Clients keine Shares anlegen oder Berechtigungen vergeben. Daher ist die Information aus der Userverwaltung vollkommen uninteressant für loyale User, aber ein interessanter Hint für weniger loyale Nutzer. bearbeitet 22. Dezember 2016 von carnivore Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 22. Dezember 2016 Melden Teilen Geschrieben 22. Dezember 2016 Moin, ich verstehe die Bedenken, aber auf dem Weg werdet ihr nicht weit kommen. Die Ansicht lokaler Konten lässt sich nicht sperren. Höchstens die Remote-Abfrage, aber gerade in deinem Szenario bringt das auch nicht viel. Der wesentlich bessere Weg ist, die kritischen Konten, die du ansprichst, ordentlich abzusichern und ggf. Angriffsversuche (fehlgeschlagene Logins) zu überwachen. Zudem solltet ihr die Mitgliedschaft in lokalen Administratorgruppen nicht für Useraccounts vorsehen, sondern nur für Gruppen - eine oder zwei reichen normalerweise aus. Das ist nicht nur weniger leicht auszuforschen (eine AD-Gruppe beispielsweise lässt sich per Berechtigungen vor neugierigen Blicken schützen), sondern auch leichter zu verwalten. Ich werf dann aber noch mal dies in den Raum: [DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net]http://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/ Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. Dezember 2016 Melden Teilen Geschrieben 22. Dezember 2016 Danke, ansonsten geht das lokale Auflisten sicher auch als User per Powershell usw. (https://powershell.org/2013/04/02/get-local-admin-group-members-in-a-new-old-way-3/) Also stimme ich Nils zu, dass man das wenn dann anders angehen sollte. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 22. Dezember 2016 Melden Teilen Geschrieben 22. Dezember 2016 Und für die Built-In Admins (die deaktiviert sind) bzw. für "benötigte" lokale Accounts -> LAPS zum regelmäßigen Ändern der Passwörter auf den PCs. Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 27. Dezember 2016 Autor Melden Teilen Geschrieben 27. Dezember 2016 (bearbeitet) Moin, ich verstehe die Bedenken, aber auf dem Weg werdet ihr nicht weit kommen. Die Ansicht lokaler Konten lässt sich nicht sperren. Höchstens die Remote-Abfrage, aber gerade in deinem Szenario bringt das auch nicht viel. Der wesentlich bessere Weg ist, die kritischen Konten, die du ansprichst, ordentlich abzusichern und ggf. Angriffsversuche (fehlgeschlagene Logins) zu überwachen. Zudem solltet ihr die Mitgliedschaft in lokalen Administratorgruppen nicht für Useraccounts vorsehen, sondern nur für Gruppen - eine oder zwei reichen normalerweise aus. Das ist nicht nur weniger leicht auszuforschen (eine AD-Gruppe beispielsweise lässt sich per Berechtigungen vor neugierigen Blicken schützen), sondern auch leichter zu verwalten. Ich werf dann aber noch mal dies in den Raum: [DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net] http://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/ Gruß, Nils Wenn es nicht geht, muss man es akzeptieren. Es ist nicht so, dass unsere Konten vollkommen ungeschützt sind. Gegen eine einfache "DOS-Attacke für jedermann", wie du sie in deinem Artikel beschreibst, haben wir Schutz-Mechanismen. Die werden nicht gegen alle denkbaren DOS-Varianten helfen, aber gegen die "Einfachen". bearbeitet 27. Dezember 2016 von carnivore Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 27. Dezember 2016 Melden Teilen Geschrieben 27. Dezember 2016 Wie denn, wenn man fragen darf. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 27. Dezember 2016 Melden Teilen Geschrieben 27. Dezember 2016 (bearbeitet) Moin, Wenn es nicht geht, muss man es akzeptieren. ... oder es richtig machen - einen Weg dazu habe ich oben beschrieben. Und was die "Schutz-Mechanismen" gegen den Angriff aus meinem Artikel angeht: Es gibt genau einen, der sinnvoll ist, und das ist der Verzicht auf automatische Kontensperrung. Gruß, Nils bearbeitet 27. Dezember 2016 von NilsK Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 27. Dezember 2016 Autor Melden Teilen Geschrieben 27. Dezember 2016 (bearbeitet) Wie denn, wenn man fragen darf. Genau kann ich es dir nicht sagen, aber es sind IDS/ IPS (Intrusion Detection/ Protection Systeme), die bei gewissen Patterns aktiv werden. Googel einfach danach, da gibt's genügend Anbieter. @Nils, du kennst dich mit Sicherheit 100-mal besser mit Windows aus als ich. Die gängigen Industriestandards der IT legen trotzdem einen lockout nach einer bestimmten Anzahl von Fehlversuchen nahe. Standards bewusst zu unterschreiten, kann gefährlich werden. Da geht's dann um Haftung. (hier kenne ich mich jetzt vielleicht besser aus :-) ) bearbeitet 27. Dezember 2016 von carnivore Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 27. Dezember 2016 Melden Teilen Geschrieben 27. Dezember 2016 Moin, @Nils, du kennst dich mit Sicherheit 100-mal besser mit Windows aus als ich. Die gängigen Industriestandards der IT legen trotzdem einen lockout nach einer bestimmten Anzahl von Fehlversuchen nahe. so ohne Weiteres stimmt das nicht. Das wird zwar oft generalisierend so gesagt, aber bei näherer Betrachtung kann bzw. darf man das nicht einfach so anwenden. Betrachte etwa mein - bewusst simpel gehaltenes - DOS für Arme: Das setzt genau an dem Punkt an. Die Sperrung greift für die ganze Domäne, also auch für die wichtigen Konten. Man kann in fast allen Netzwerken ohne erhöhte Rechte sehr simpel erheblichen Schaden anrichten. Kontensperrung soll schwache Kennwörter beherrschbar machen. Besser ist es also, keine schwachen Kennwörter zu nutzen, zumindest bei Diensten und hochprivilegierten Konten. Die werden in aller Regel von Leuten genutzt, denen man starke Kennwörter sehr wohl zumuten kann. Ist ein Kennwort stark, dann sind Brute-Force-Angriffe aussichtslos, und man kann sich das Sperren sparen. Wenn überhaupt, dann sollte man Sperrungen nur in Kombination mit Fine-Grained Password Policies einsetzen. In dem Fall kann man für verschiedene Kontenklassen unterschiedliche Richtlinien innerhalb einer Domäne verwenden. Standards bewusst zu unterschreiten, kann gefährlich werden. Da geht's dann um Haftung. (hier kenne ich mich jetzt vielleicht besser aus :-) ) Wenn man nach meiner Argumentation vorgeht, dann unterschreitet man die Standards nicht, sondern man übertrifft sie. Und ja, genau das muss man unter Umständen bewusst tun, wenn Standards ihre Aufgaben nicht erfüllen. Ein Standard, der Kontensperrungen nach (vielleicht auch noch wenigen) Fehleingaben pauschal vorschreibt, erfüllt seine Aufgabe nicht. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.