Saegenjupp 0 Geschrieben 19. Dezember 2018 Melden Teilen Geschrieben 19. Dezember 2018 Hallo zusammen, ich wollte mal von euch wissen wir ihr in der Domäne unterwegs seid. Welche Art von Accounts benutzt ihr für welche Aufgaben um im Fall der Fälle wenigstmöglich kaputt zu machen? Zum Beispiel zum anpassen von Servereinstellungen. Nutzt ihr einen AD-Admin Account zur Anmeldung? Oder einen AD-Admin Account um einem lokalen oder normalen AD-User temporär zum Admin zu machen? Oder einen lokalen Admin generell? Oder seid ihr immer ohne Rechte unterwegs und führt nur nötige Aufgaben mit Rechten eines AD/lokalen Admins aus? Es gibt so viele sichere und unsichere Kombinationen.... Und macht ihr in bestimmten Situationen etwas anders als sonst? Beispielsweise bei Backupservern... Hatte neulich ein Gespräch mit anderen Admins, hier waren die Meinungen im Bezug auf Ransomware usw. schon sehr unterschiedlich. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 19. Dezember 2018 Melden Teilen Geschrieben 19. Dezember 2018 (bearbeitet) So wenig Rechte wie möglich, so viel wie nötig. Ganz so einfach ist es. Ein Baustein gegen Ransomsoftware ist auch Applocker, bzw. sind die Software Restriction Policies. EDIT: Personalisierte Accounts in unterschiedlichen Rollen sind beins im Einsatz, das wollte ich eigentlich damit ausdrücken. bearbeitet 19. Dezember 2018 von Sunny61 Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 19. Dezember 2018 Melden Teilen Geschrieben 19. Dezember 2018 Wir führen bei unseren Kunden mehrere Accounts ein. Einen normalen User, einen AD Admin User, einen Server Admin User und einen Client Admin User. Je nach Funktion hat ein Admin mehrere dieser Accounts. Es wird auch so beschränkt, dass sich der AD Admin und Server Admin nicht auf Clients einloggen dürfen und mit den anderen Rollen entsprechend anders. Für den Wechsel zwischen den Zonen gibt es dann dedizierte Admin Maschinen oder Sprungserver (RDS). Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 19. Dezember 2018 Melden Teilen Geschrieben 19. Dezember 2018 (bearbeitet) Moin, die Konten- und Rollentrennung ist ein sinnvoller Ansatz. Sinn ergibt das aber nur, wenn man es ordentlich plant und organisatorisch verankert. Ein erster Schritt besteht darin, die Rollen ausführlich zu definieren und davon abzuleiten, welche Berechtigungen tatsächlich nötig sind. Man kommt dann i.d.R. schnell zu der Einsicht, dass man fast keine Domänen-Admins braucht, weil kaum eine Aufgabe das wirklich braucht. Eine Erweiterung des Ansatzes ist "Administrative Tiering", in dem man Server und Clients in mehrere Sicherheitszonen einteilt (gängiger Aufbau sind drei Zonen) und über Berechtigungen, Anmeldebschränkungen usw. sicherstellt, dass ein Admin-Account sich immer nur in einer bestimmten Zone anmelden kann. Wer Arbeiten in mehr als einer Zone zu erledigen hat, braucht dann pro Zone einen separaten Account. (Ich nehme mal an, dass Dukel sowas auch meint.) Ich verstehe es hoffentlich richtig, dass hier von Rollen die Rede ist, nicht von gemeinsam genutzten Accounts? In so einem Konstrukt darf man nur mit personalisierten Konten arbeiten, niemals mit gemeinsam genutzten Konten. Sonst kann man sich den ganzen Aufwand sparen. Gruß, Nils bearbeitet 19. Dezember 2018 von NilsK Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.