Anmelden von Nutzern überwachen

[HeizungAuf5 13]

Hallo zusammen,

 

ich habe heute mal eine Frage, welche sich vielleicht nicht direkt auf den Privatuser Bereich übertragen lässt, aber vielleicht hat trotzdem jemand eine Idee.

 

Wir bieten Kunden Server (Physikalische Maschine) komplett als Managed Service an. Heißt der Kunde bezahlt im Monat Betrag XY und wir verwalten die Kiste zu 100%. Wenn wir eine solche Kiste bei einem Kunden aufstellen, bekommen die entsprechenden Ansprechpartner in einem Versiegelten Umschlag das Kennwort für einen Notfall-Admin User auf dem Server. In den MS-Verträgen steht dann bei uns, dass sobald dieser Umschlag geöffnet und das Kennwort verwendet wird, wir sämtliche Pflichten und Haftung umgehend abgeben. (Verkürzt: Kunde meldet sich mit dem Kennwort als Admin an, macht was kaputt -> Nicht mehr unser Problem). Das Problem dabei ist die Überwachung von dem ganzen. Aktuell lassen wir uns bei vor-Ort Einsätzen den Umschlag zeigen und prüfen, ob die Siegel noch vorhanden sind. Allerdings ist das bei weiter entfernten Kunden, oder bei welchen, bei denen vor-Ort Einsätze nicht oft notwendig sind sehr dünn. Da schaut sich vielleicht einmal im Jahr jemand den Umschlag an.

 

Daher die Frage: Bietet Windows Server eine Art "Siegel" auf Benutzerkonten? Gedacht hatte ich mir sowas in der Art, dass sobald sich dieser "Notfalladmin" auf dem System anmeldet, dies irgendwo vermerkt wird. In vielen Blogbeiträgen wird das mit einer Batch-Datei im Autostart gelöst, die dann einfach ein Textdokument irgendwohin legt von wegen "Notfalladmin hat sich angemeldet". Diese Lösung finde ich allerdings etwas dürftig, da diese Datei ja auch einfach wieder gelöscht werden kann. Heißt wir bräuchten so etwas wie einen "irreparablen" Wert, der sich nicht zurücksetzen lässt. Eine Idee war, zu überprüfen, ob der Benutzerordner auf C:\User\ erstellt wurde. Funktioniert an sich schon, da sich mit dem Notfallaccount nie einer von uns anmeldet, allerdings würden wir das Passwort für den Fall der Fälle schon einmal testen, was dann wiederum den Ordner anlegt.

 

Ich hoffe ihr wisst was ich meine. ;)

 

Kennt jemand einen entsprechenden Lösungsansatz?

 

Grüße!

[sgn9 3]

regel nr. 8 hier: keine Fragen zum Thema Recht, Datenschutz oder Mitarbeiterüberwachung.

[HeizungAuf5 13]

Gerade eben schrieb sgn9:

keine Fragen zum Thema Recht, [...] Mitarbeiterüberwachung.

Ich will ja niemanden überwachen (und schon gar keine Mitarbeiter), sondern nur sicher stellen, dass sich niemand an dem Server anmeldet, der es nicht darf.

 

Mitarbeiterüberwachung ist meiner Meinung nach "Ey Klaus, ich hab gesehen, du hast gestern um 17:32 ausgestempelt, aber dein Rechner war um 17:18 aus! Was hast du in der Zeit gemacht?"

[NilsK 2.934]

Moin,

 

das ganze Konstrukt ist unsinnig. Auch eine technische Lösung, wie sie dir vorschwebt, wird nicht mehr Verlässlichkeit bringen, denn wie du schon richtig sagst: Wenn ihr jemandem Adminrechte gebt, kann er seine Spuren verwischen, wenn er es drauf anlegt.

 

Wenn ihr also bei dem "Notfall-Admin"-Verfahren bleibt, werdet ihr mit einer Unschärfe leben müssen. Das Problem liegt nicht in der Umsetzung, sondern in dem Verfahren selbst.

 

Gruß, Nils

 

[SandyB 9]

PAM (Privileged Access Management) ist dafür die Lösung. CyberArk, BeyondTrust, Centrify oder Wallix sind bekannte Vertreter. 

Zur evaluierung sind dir  die PAM Studien von Gartner oder Forrester sicher behilflich. Frag die genannten Vendoren einfach danach. Die Studien sind sonst relativ teuer.

bearbeitet 21. Dezember 2019 von SandyB

[sgn9 3]

Ob sich eine PAM-Lösung in den Umgebungen, die der OP meint, einfach installieren lässt? Und der Ressourcenverbrauch?

Kostenlos gibts die sicher auch nicht? Wird das ein Kunde zahlen?

 

Eine zweistufige Lösung (u.a. mit Taskplaner) kann schon funktionieren, solange das Mainboard einen auslesbarer Seriennummer o.ä. hat und der OP Zugriff auf einen Compiler hat. Kleine, halbwegs schlanke Lösung

[djmaker 95]

Anmeldescript welches eine Email an euch verschickt per Powershell . . . . . .bis das jemand merkt ist die Email raus.

[sgn9 3]

Router kann man ausschalten. Oder einfach WAN-Kabel kurz ziehen.

den Tipp aus dem Ausgangspost, "C:\Users überwachen ob da ein Verzeichnis 'Notfalladmin' existiert" kann man einfach durch anlagen eines Admin2 lösen, der das Verzeichnis dann löscht. (Oder Passwort zurücksetzen eines anderen Admins)

bearbeitet 22. Dezember 2019 von sgn9

[magheinz 110]

Logfile direkt auf einen Zeilendrucker... 

[HeizungAuf5 13]

MonitoringHallo zusammen, vielen Dank für eure Antworten!

 

vor 16 Stunden schrieb NilsK:

Wenn ihr jemandem Adminrechte gebt, kann er seine Spuren verwischen, wenn er es drauf anlegt. 

Das Spiel können wir sowieso nicht gewinnen. Spätestens beim physikalischen Zugriff ist Ende. Grundlegend ging es uns darum, es dem "Kundenadmin" so schwer wie möglich zu machen. Diese tollen Logon Scripte, die eine Textdatei "Ich wurde um XX:XX angemeldet" anlegen, sind meiner Meinung nach deswegen ungeeignet, da sie den kompletten Pfad (und somit ja schon fast eine Anleitung zum Spuren verwischen) auf dem Silbertablett servieren.

 

vor 12 Stunden schrieb djmaker:

Anmeldescript welches eine Email an euch verschickt per Powershell

Das Problem hierbei ist, dass ich dem Script ein (verschlüsseltes) Passwort für den Mailserver mitgeben muss. Selbst wenn wir uns bei einem Free-Hoster der Wahl einen "Dumb-Account" für anlegen, steht einem Missbrauch auch Tür und Tor offen.

 

Was ist gestern beim stöbern noch gefunden habe: Man kann abfragen, wann sich ein Nutzer zuletzt an/abgemeldet hat (klick).

An sich wäre das schon das, was wir brauchen. Das Script binden wir in unser Monitorring mit ein, welches die Ausgaben des Scriptes überwacht.

 

Ich denke wir werden damit - und mit den von euch vorgeschlagenen Vorgehensweisen - ein bisschen experimentieren und mal schauen, was wir raus bekommen.

 

Grüße und Danke!

[SandyB 9]

@Heizung

Du bist ja beileibe nicht der erste, der administrative Zugriffe unter Kontrolle bringen muss. Wenn es bei dir noch dazu um Kundenserver geht, brauchst du zweimal eine professionelle Lösung. Microsoft selbst hat dafür nichts Brauchbares.

[sgn9 3]

SandyB wirft hier gebetsmühlenartig sein Stichwort PAM rein, ohne konkretes Anwendungsbeispiel zur Frage vom OP und ohne Kostenbeispiel.

[mwiederkehr 373]

Sobald sich der Kunde als Admin angemeldet hat, kann er tun, was er möchte. Das Logging muss vorher passieren.

 

Vorschlag: Beim Login des Benutzers läuft ein Script ab, welches folgendes erledigt:

1. Aufruf einer Website (eures Monitorings) in der Form "logger.aspx?kunde=meier". Diese Daten könnt ihr speichern und euch alarmieren lassen. So müssen keine E-Mail-Zugangsdaten hinterlergt werden.

2. Für den Fall, dass der Kunde den Internetzugang blockiert hat: Erstellung einer Logdatei an einem schwer auffindbaren Ort. Für die Paranoiden: mit Zeitstempel in der Vergangenheit. Alternativ ginge auch ein Key in der Registry.

3. Ganz wichtig: das Script löscht sich nach der Ausführung selbst.

[HeizungAuf5 13]

Hallo zusammen,

 

wir haben das nun erstmal wie folgt gelöst:

 

Unser Monitoring führt alle 15 Minuten das oben verlinkte Script aus und kuckt drauf, wann sich der NotfallAdmin das letzte mal ABgemeldet hat. Das ganze wird schwer zu verwischen sein, denn jedes mal, wenn sich der admin dann wieder abmeldet, wird der wert wieder neu geschrieben.

 

Unser Monitoring kennt den "Normalen" Wert, den das Script zurückgibt. Sobald der Wert abweicht -> Alarm. Somit müsste - sollte jemand wissen, wie man das Abmeldedatum ändert - den Wert auf die Minute genau anpassen. Ausstecken des Servers würde auch nicht wirklich funktionieren, da der Server dann bei uns im Monitoring in nen Timeout geht -> Alarm.

 

Wir werden das erstmal evaluieren und dann mal drüber sprechen, ob wir das weiträumig ausrollen.

 

Grüße!

[SandyB 9]

vor 7 Stunden schrieb sgn9:

SandyB wirft hier gebetsmühlenartig sein Stichwort PAM rein, ohne konkretes Anwendungsbeispiel zur Frage vom OP und ohne Kostenbeispiel.

Welche Probleme hast du eigentlich?