axel90
Goto Top

Administratorenrechte für Benutzer

Hallo zusammen,

wir haben bei uns momentan das Thema, wie wir mit Benutzer verfahren, die lokale Administratorenrechte für ihre Workstations wollen.

Die Nutzer haben Netzlaufwerke eines Fileservers verbunden, nutzen Outlook, Internetzugang usw.

es gibt nun ein Konzept, dass die Geräte mit Administratorenrechten in ein eigenes Vlan kommen.

Zusätzlich soll es einen RDP Server geben, auf den sie sich verbinden sollen. (Zugriff auf Fileserver und Webapp sperren)

Sie sollen dann lokal keine Netzlaufwerke verbunden bekommen, diese bekommen sie nur auf dem TS verbunden.

Außerdem gibt es eine Webapplikation auf einem internen Server, die dann auch nur über den TS aufrufbar ist.

Die anderen Workstations mit Benutzern ohne Adminrechten greifen aber weiterhin direkt auf Fileserver und Webapplikation zu.

meine erste Frage: Kann ein Virus auf den nicht-Admin-Workstations nicht auch genauso großen Schaden anfügen?

Macht es Sinn, den Admin Workstations nur RDP auf einen TS zu erlauben, um dort Fileservices und die Webapp zu nutzen?

Wie handhabt ihr das?

Gruß

Content-ID: 319030

Url: https://administrator.de/contentid/319030

Ausgedruckt am: 05.11.2024 um 08:11 Uhr

Kraemer
Kraemer 25.10.2016 um 15:18:03 Uhr
Goto Top
Moin,
Zitat von @Axel90:
wir haben bei uns momentan das Thema,
Fehler Nr. 1

wie wir mit Benutzer verfahren,
die tun das, was ich denen erlaube

die lokale Administratorenrechte für ihre Workstations wollen.
da sie diese nicht brauchen, haben sie diese auch nicht zu wollen

Wie handhabt ihr das?
rigoros

Gruß Krämer
Chonta
Chonta 25.10.2016 um 15:25:53 Uhr
Goto Top
Hallo,

die lokale Administratorenrechte für ihre Workstations wollen.
Wollen oder brauchen um arbeiten zu können?

es gibt nun ein Konzept, dass die Geräte mit Administratorenrechten in ein eigenes Vlan kommen.
Wenn ihr damit die Cryptotrojaner aussperren wollt.... die Teile laufen im Benutzerkontext und ALLES was der Benutzer ändern klann wird dan auch verschlüsselt.
Oder warum das aussperren wegen der Adminrechte?

diese bekommen sie nur auf dem TS verbunden.
Warum dann noch rechner und keine Thinclientumgebung wenn eh schon ein TS mit ausrechend RDS CAL da ist?
Wenn auch Mails über den TS abgerufen werden und im Internetgesurft wird.... dann geht die Malware halt vom Server auf Wanderschaft.

Die anderen Workstations mit Benutzern ohne Adminrechten greifen aber weiterhin direkt auf Fileserver und Webapplikation zu.
Und können alles löschen und verschlüsseln was sie können, wenn die sich was einfangen.

Kann ein Virus auf den nicht-Admin-Workstations nicht auch genauso großen Schaden anfügen?
Die Frage ist wovo Du dich genau schützen willst. Viren/Trojaner verschaffen sich in der Regel die Rechte die sei brauchen, wenn man als Admin/Domadmin unterwegs ist gehts halt ggf. nur wesentlich schneller.

Wie handhabt ihr das?

Lokale Adminrechte bekommt nur der der die auch zum arbeiten braucht und damit umgehen kann.
Alle anderen bekommen keine und eine Schulung und sollten mich bei "spanischen" Mails rufen.
Die Mitarbeiten zu sensebilisieren ist nach einem vernünfiten Antivirusprogramm und Bakcup das wichtigste.

Gruß

Chonta
simsons
simsons 25.10.2016 um 17:14:02 Uhr
Goto Top
Ein User bekommt niemals Adminrechte.
Ein Flugpassagiere darf auch nicht an den Steuerknüppel!
Er darf zwar fliegen, aber halt nur als Passagier.
Penny.Cilin
Penny.Cilin 25.10.2016 um 17:16:09 Uhr
Goto Top
Hallo,

kann man so etwas nicht mit Delegateberechtigungen abbilden?
Dafür sind diese doch gedacht?


Gruss Penny
VGem-e
VGem-e 25.10.2016 um 21:01:01 Uhr
Goto Top
Servus,

grundsätzlich gilt bei uns:

Keine Administratorrechte für normale User (gilt natürlich auch für mich, sofern ich nicht grad administrative Aufgaben im Netzwerk durchführe!!).

Leider gibt es ganz wenige Ausnahmen für Softwareprodukte, die "lebensnotwendig" eingesetzt werden müssen und bei denen es die Programmierer trotz meiner Versuche bislang nicht schafften, ihre Produkte sauber zu programmieren.

Gruß
VGem-e
Muesliriegel
Muesliriegel 25.10.2016 um 23:00:00 Uhr
Goto Top
Auch bei uns: Alle Nutzer haben nur normale Benutzerrechte. Auch die ITler arbeiten standardmäßig mit normalen Benutzerrechten. Für administrative Tätigketien gibt es separate Konten.
Axel90
Axel90 26.10.2016 aktualisiert um 08:32:15 Uhr
Goto Top
@Muesliriegel

die separaten Konten für administrative Tätigkeiten: hat nur jeder IT Mitarbeiter eins oder auch jeder andere Benutzer?
Chonta
Chonta 26.10.2016 um 08:36:18 Uhr
Goto Top
Konten für administrative Tätigkeiten
Haben nur die Admins die auch administrieren.

oder auch jeder andere Benutzer?
Benutzer die keine Admins sind bekommen nur die Rechte die sie brauchen und wenn die permanent lokale Adminrechte brauchen, weil die Software die die verwenden müssen sch...... ist, dann haben die auf der Kiste auf der die arbeiten hjalt lokale Adminrechte, außer das Programm kann mit runas oder so anders gestartet werden.

Gruß

Chonta
DerWoWusste
DerWoWusste 26.10.2016 um 09:37:14 Uhr
Goto Top
Hi.

es gibt nun ein Konzept, dass die Geräte mit Administratorenrechten in ein eigenes Vlan kommen.
Worin besteht denn das Konzept? Welches Problem wollt Ihr mit dem VLan beseitigen?
Zusätzlich soll es einen RDP Server geben, auf den sie sich verbinden sollen. (Zugriff auf Fileserver und Webapp sperren)
Dito. Was soll das bringen?

Bevor ich den Rest genau so hinterfrage:
A Warum brauchen sie Adminrechte?
B Wenn man sie Ihnen gibt, was ändert das für Euch, wogegen müsst Ihr schützen?

Ich lese nur das Wort "Konzept" aber dessen Inhalt ist mir unklar.
Axel90
Axel90 26.10.2016 um 11:23:47 Uhr
Goto Top
mit dem vlan: dass man sehr granulare FW Regeln erstellt; nur das nötigste freigeben; Virenscanning bei http, https etc.
VGem-e
VGem-e 26.10.2016 um 11:27:12 Uhr
Goto Top
Servus,

@Axel90:


Zitat von @Axel90:

mit dem vlan: dass man sehr granulare FW Regeln erstellt; nur das nötigste freigeben; Virenscanning bei http, https etc.

Heißt das, auf den Workstations läuft kein AV??

Gruß
VGem-e
Axel90
Axel90 26.10.2016 um 11:41:25 Uhr
Goto Top
Doch, da läuft auch ein AV.

mit http, https virenscanning meinte ich die Hardware Firewall, die an erster Stelle schon Viren abfängt. (versucht abzufangen).
und generell den Zugriff in andere Netze einfach auf das allernötigste beschränken, also so wenig wie möglich Angriffsfläche.
Klar, das sollte man bei allen Clients (in allen Clientnetzen) eh machen.
Aber dass man einfach ein extra Vlan dafür hat, und da immer genau nachprüft, dass nicht zuviel freigegeben ist.
Aber theoretisch braucht's man nicht.
Chonta
Chonta 26.10.2016 um 12:15:50 Uhr
Goto Top
Hallo,

also ich kann mir nicht vorstellen, das es einfacher ist mit VLAN zu arbeiten anstatt die Freigabenrechte/NTFS-Rechte/Gruppenmitgliedschaften so zu setzen, das man nur auf das Zugriff hat auf das man Zugriff bekommen soll.

Ob nun ein Benutzer das LAN absucht nach Freigaben die nicht kennt und dan versucht Daten in Ordnern die ihn nicht zu interessieren haben löschot oder eine Malware das automatisch macht.
Beide scheitern in dem Moment, wenn die Zugriffsrechte nicht ausreichen um was zu machen.
Gut bestimte Trojaner könnten nun nach Schwachstellen scannen und versuchen ich Rechte auf dem Remotesystem zu beschaffen, aber da hilft auch die Aufteilung auf VLAN wenig, denn die Schadsoftware wird versuchen sich über die Fileserver zu verbreiten und wenn die dan auch nicht VLAN Only sind und Verbindungen zu anderen VLAN haben..

Der Wartungsaufwand wird daurch nur erhöht und der Sicherheitsgewin ist nicht wirklich greifbar und überflüssig macht das ganze die normale Absicherung mit Virenscannern, Schulungen und richte Rechtevergabe schon garnicht.

Gruß

Chonta
seltsam
seltsam 26.10.2016 um 13:09:54 Uhr
Goto Top
Moin,
keine Adminrechte für User.
Gibt es einfach nicht.
Wenn eine Applikation unbedingt Adminrechte braucht, rauswerfen oder dem Hersteller damit drohen und ihn Knechten, das zu regulieren.
Oder aber via Berechtigungen die Regestryeinträge und Dateisystemberechtigungen setzen, sofern das geht.
Alles andere ist Risiko.
Eigene VLANs mit TS Verbindungen muss den Usern auch erstmal beigebracht werden, dann wollen die Ihre Programme dann in der Session nutzen und verstehen nicht, wieso die umschalten müssen, oder Daten kopieren von a nach b.
Alles Dinge, mit denen sich der user nicht befasst.
Erinnere Deinen Geschäftsführer daran, dass er hauptverantwortlich ist und erinnere Dich selbst daran, dass Du Dich auch absichern musst.
Solche Befehle lasse ich mir immer schriftlich geben.

Adminrechte = Weg des geringsten Widerstandes = NEIN

VLANs schützen ebenfalls nicht vor Schadsoftware, Layer 2 und so.

Dein Schadsoftwareschutz sollte vorbereitet sein.
Backupkonzepte und Redundanz.
Dinge, die der User nicht mitbekommt.
Der will nur ungestört arbeiten und nicht darüber nachdenken.
Ach ja, und niemals Adminrechte an die User verteilen.
sk
sk 26.10.2016 um 13:52:47 Uhr
Goto Top
Applikationen, die so schlecht programmiert sind, dass sie (scheinbar) Adminrechte benötigen, sind kein Grund für eine wie auch immer geartete Rechteausweitung der User. Diesem Problem kann man in der Regel mittels Anwendungsvirtualisierung beikommen. Beispielsweise mit vmware ThinApp (ehemals Thinstall).

Gruß
sk
Muesliriegel
Muesliriegel 15.11.2016 um 23:19:46 Uhr
Goto Top
Zitat von @Axel90:

@Muesliriegel

die separaten Konten für administrative Tätigkeiten: hat nur jeder IT Mitarbeiter eins oder auch jeder andere Benutzer?

Nein, nur die IT-Mitarbeiter. Wir haben keinen einzigen normalen User, der Adminrechte hat. Ausnahme: User, die keine Anbindung (auch nicht per VPN) an das Netzwerk haben, sondern einen stand-alone-Rechner irgendwo draußen haben.