16
Administratorenrechte für Benutzer
Hallo zusammen,
wir haben bei uns momentan das Thema, wie wir mit Benutzer verfahren, die lokale Administratorenrechte für ihre Workstations wollen.
Die Nutzer haben Netzlaufwerke eines Fileservers verbunden, nutzen Outlook, Internetzugang usw.
es gibt nun ein Konzept, dass die Geräte mit Administratorenrechten in ein eigenes Vlan kommen.
Zusätzlich soll es einen RDP Server geben, auf den sie sich verbinden sollen. (Zugriff auf Fileserver und Webapp sperren)
Sie sollen dann lokal keine Netzlaufwerke verbunden bekommen, diese bekommen sie nur auf dem TS verbunden.
Außerdem gibt es eine Webapplikation auf einem internen Server, die dann auch nur über den TS aufrufbar ist.
Die anderen Workstations mit Benutzern ohne Adminrechten greifen aber weiterhin direkt auf Fileserver und Webapplikation zu.
meine erste Frage: Kann ein Virus auf den nicht-Admin-Workstations nicht auch genauso großen Schaden anfügen?
Macht es Sinn, den Admin Workstations nur RDP auf einen TS zu erlauben, um dort Fileservices und die Webapp zu nutzen?
Wie handhabt ihr das?
Gruß
wir haben bei uns momentan das Thema, wie wir mit Benutzer verfahren, die lokale Administratorenrechte für ihre Workstations wollen.
Die Nutzer haben Netzlaufwerke eines Fileservers verbunden, nutzen Outlook, Internetzugang usw.
es gibt nun ein Konzept, dass die Geräte mit Administratorenrechten in ein eigenes Vlan kommen.
Zusätzlich soll es einen RDP Server geben, auf den sie sich verbinden sollen. (Zugriff auf Fileserver und Webapp sperren)
Sie sollen dann lokal keine Netzlaufwerke verbunden bekommen, diese bekommen sie nur auf dem TS verbunden.
Außerdem gibt es eine Webapplikation auf einem internen Server, die dann auch nur über den TS aufrufbar ist.
Die anderen Workstations mit Benutzern ohne Adminrechten greifen aber weiterhin direkt auf Fileserver und Webapplikation zu.
meine erste Frage: Kann ein Virus auf den nicht-Admin-Workstations nicht auch genauso großen Schaden anfügen?
Macht es Sinn, den Admin Workstations nur RDP auf einen TS zu erlauben, um dort Fileservices und die Webapp zu nutzen?
Wie handhabt ihr das?
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 319030
Url: https://administrator.de/contentid/319030
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
16 Kommentare
Neuester Kommentar
Moin,
Fehler Nr. 1
Gruß Krämer
Fehler Nr. 1
wie wir mit Benutzer verfahren,
die tun das, was ich denen erlaubedie lokale Administratorenrechte für ihre Workstations wollen.
da sie diese nicht brauchen, haben sie diese auch nicht zu wollenWie handhabt ihr das?
rigorosGruß Krämer
Hallo,
Oder warum das aussperren wegen der Adminrechte?
Wenn auch Mails über den TS abgerufen werden und im Internetgesurft wird.... dann geht die Malware halt vom Server auf Wanderschaft.
Lokale Adminrechte bekommt nur der der die auch zum arbeiten braucht und damit umgehen kann.
Alle anderen bekommen keine und eine Schulung und sollten mich bei "spanischen" Mails rufen.
Die Mitarbeiten zu sensebilisieren ist nach einem vernünfiten Antivirusprogramm und Bakcup das wichtigste.
Gruß
Chonta
die lokale Administratorenrechte für ihre Workstations wollen.
Wollen oder brauchen um arbeiten zu können?es gibt nun ein Konzept, dass die Geräte mit Administratorenrechten in ein eigenes Vlan kommen.
Wenn ihr damit die Cryptotrojaner aussperren wollt.... die Teile laufen im Benutzerkontext und ALLES was der Benutzer ändern klann wird dan auch verschlüsselt.Oder warum das aussperren wegen der Adminrechte?
diese bekommen sie nur auf dem TS verbunden.
Warum dann noch rechner und keine Thinclientumgebung wenn eh schon ein TS mit ausrechend RDS CAL da ist?Wenn auch Mails über den TS abgerufen werden und im Internetgesurft wird.... dann geht die Malware halt vom Server auf Wanderschaft.
Die anderen Workstations mit Benutzern ohne Adminrechten greifen aber weiterhin direkt auf Fileserver und Webapplikation zu.
Und können alles löschen und verschlüsseln was sie können, wenn die sich was einfangen.Kann ein Virus auf den nicht-Admin-Workstations nicht auch genauso großen Schaden anfügen?
Die Frage ist wovo Du dich genau schützen willst. Viren/Trojaner verschaffen sich in der Regel die Rechte die sei brauchen, wenn man als Admin/Domadmin unterwegs ist gehts halt ggf. nur wesentlich schneller.Wie handhabt ihr das?
Lokale Adminrechte bekommt nur der der die auch zum arbeiten braucht und damit umgehen kann.
Alle anderen bekommen keine und eine Schulung und sollten mich bei "spanischen" Mails rufen.
Die Mitarbeiten zu sensebilisieren ist nach einem vernünfiten Antivirusprogramm und Bakcup das wichtigste.
Gruß
Chonta
Ein User bekommt niemals Adminrechte.
Ein Flugpassagiere darf auch nicht an den Steuerknüppel!
Er darf zwar fliegen, aber halt nur als Passagier.
Ein Flugpassagiere darf auch nicht an den Steuerknüppel!
Er darf zwar fliegen, aber halt nur als Passagier.
Hallo,
kann man so etwas nicht mit Delegateberechtigungen abbilden?
Dafür sind diese doch gedacht?
Gruss Penny
kann man so etwas nicht mit Delegateberechtigungen abbilden?
Dafür sind diese doch gedacht?
Gruss Penny
Servus,
grundsätzlich gilt bei uns:
Keine Administratorrechte für normale User (gilt natürlich auch für mich, sofern ich nicht grad administrative Aufgaben im Netzwerk durchführe!!).
Leider gibt es ganz wenige Ausnahmen für Softwareprodukte, die "lebensnotwendig" eingesetzt werden müssen und bei denen es die Programmierer trotz meiner Versuche bislang nicht schafften, ihre Produkte sauber zu programmieren.
Gruß
VGem-e
grundsätzlich gilt bei uns:
Keine Administratorrechte für normale User (gilt natürlich auch für mich, sofern ich nicht grad administrative Aufgaben im Netzwerk durchführe!!).
Leider gibt es ganz wenige Ausnahmen für Softwareprodukte, die "lebensnotwendig" eingesetzt werden müssen und bei denen es die Programmierer trotz meiner Versuche bislang nicht schafften, ihre Produkte sauber zu programmieren.
Gruß
VGem-e
Auch bei uns: Alle Nutzer haben nur normale Benutzerrechte. Auch die ITler arbeiten standardmäßig mit normalen Benutzerrechten. Für administrative Tätigketien gibt es separate Konten.
@Muesliriegel
die separaten Konten für administrative Tätigkeiten: hat nur jeder IT Mitarbeiter eins oder auch jeder andere Benutzer?
die separaten Konten für administrative Tätigkeiten: hat nur jeder IT Mitarbeiter eins oder auch jeder andere Benutzer?
Konten für administrative Tätigkeiten
Haben nur die Admins die auch administrieren.oder auch jeder andere Benutzer?
Benutzer die keine Admins sind bekommen nur die Rechte die sie brauchen und wenn die permanent lokale Adminrechte brauchen, weil die Software die die verwenden müssen sch...... ist, dann haben die auf der Kiste auf der die arbeiten hjalt lokale Adminrechte, außer das Programm kann mit runas oder so anders gestartet werden.Gruß
Chonta
Hi.
Bevor ich den Rest genau so hinterfrage:
A Warum brauchen sie Adminrechte?
B Wenn man sie Ihnen gibt, was ändert das für Euch, wogegen müsst Ihr schützen?
Ich lese nur das Wort "Konzept" aber dessen Inhalt ist mir unklar.
es gibt nun ein Konzept, dass die Geräte mit Administratorenrechten in ein eigenes Vlan kommen.
Worin besteht denn das Konzept? Welches Problem wollt Ihr mit dem VLan beseitigen?Zusätzlich soll es einen RDP Server geben, auf den sie sich verbinden sollen. (Zugriff auf Fileserver und Webapp sperren)
Dito. Was soll das bringen?Bevor ich den Rest genau so hinterfrage:
A Warum brauchen sie Adminrechte?
B Wenn man sie Ihnen gibt, was ändert das für Euch, wogegen müsst Ihr schützen?
Ich lese nur das Wort "Konzept" aber dessen Inhalt ist mir unklar.
mit dem vlan: dass man sehr granulare FW Regeln erstellt; nur das nötigste freigeben; Virenscanning bei http, https etc.
Doch, da läuft auch ein AV.
mit http, https virenscanning meinte ich die Hardware Firewall, die an erster Stelle schon Viren abfängt. (versucht abzufangen).
und generell den Zugriff in andere Netze einfach auf das allernötigste beschränken, also so wenig wie möglich Angriffsfläche.
Klar, das sollte man bei allen Clients (in allen Clientnetzen) eh machen.
Aber dass man einfach ein extra Vlan dafür hat, und da immer genau nachprüft, dass nicht zuviel freigegeben ist.
Aber theoretisch braucht's man nicht.
mit http, https virenscanning meinte ich die Hardware Firewall, die an erster Stelle schon Viren abfängt. (versucht abzufangen).
und generell den Zugriff in andere Netze einfach auf das allernötigste beschränken, also so wenig wie möglich Angriffsfläche.
Klar, das sollte man bei allen Clients (in allen Clientnetzen) eh machen.
Aber dass man einfach ein extra Vlan dafür hat, und da immer genau nachprüft, dass nicht zuviel freigegeben ist.
Aber theoretisch braucht's man nicht.
Hallo,
also ich kann mir nicht vorstellen, das es einfacher ist mit VLAN zu arbeiten anstatt die Freigabenrechte/NTFS-Rechte/Gruppenmitgliedschaften so zu setzen, das man nur auf das Zugriff hat auf das man Zugriff bekommen soll.
Ob nun ein Benutzer das LAN absucht nach Freigaben die nicht kennt und dan versucht Daten in Ordnern die ihn nicht zu interessieren haben löschot oder eine Malware das automatisch macht.
Beide scheitern in dem Moment, wenn die Zugriffsrechte nicht ausreichen um was zu machen.
Gut bestimte Trojaner könnten nun nach Schwachstellen scannen und versuchen ich Rechte auf dem Remotesystem zu beschaffen, aber da hilft auch die Aufteilung auf VLAN wenig, denn die Schadsoftware wird versuchen sich über die Fileserver zu verbreiten und wenn die dan auch nicht VLAN Only sind und Verbindungen zu anderen VLAN haben..
Der Wartungsaufwand wird daurch nur erhöht und der Sicherheitsgewin ist nicht wirklich greifbar und überflüssig macht das ganze die normale Absicherung mit Virenscannern, Schulungen und richte Rechtevergabe schon garnicht.
Gruß
Chonta
also ich kann mir nicht vorstellen, das es einfacher ist mit VLAN zu arbeiten anstatt die Freigabenrechte/NTFS-Rechte/Gruppenmitgliedschaften so zu setzen, das man nur auf das Zugriff hat auf das man Zugriff bekommen soll.
Ob nun ein Benutzer das LAN absucht nach Freigaben die nicht kennt und dan versucht Daten in Ordnern die ihn nicht zu interessieren haben löschot oder eine Malware das automatisch macht.
Beide scheitern in dem Moment, wenn die Zugriffsrechte nicht ausreichen um was zu machen.
Gut bestimte Trojaner könnten nun nach Schwachstellen scannen und versuchen ich Rechte auf dem Remotesystem zu beschaffen, aber da hilft auch die Aufteilung auf VLAN wenig, denn die Schadsoftware wird versuchen sich über die Fileserver zu verbreiten und wenn die dan auch nicht VLAN Only sind und Verbindungen zu anderen VLAN haben..
Der Wartungsaufwand wird daurch nur erhöht und der Sicherheitsgewin ist nicht wirklich greifbar und überflüssig macht das ganze die normale Absicherung mit Virenscannern, Schulungen und richte Rechtevergabe schon garnicht.
Gruß
Chonta
Moin,
keine Adminrechte für User.
Gibt es einfach nicht.
Wenn eine Applikation unbedingt Adminrechte braucht, rauswerfen oder dem Hersteller damit drohen und ihn Knechten, das zu regulieren.
Oder aber via Berechtigungen die Regestryeinträge und Dateisystemberechtigungen setzen, sofern das geht.
Alles andere ist Risiko.
Eigene VLANs mit TS Verbindungen muss den Usern auch erstmal beigebracht werden, dann wollen die Ihre Programme dann in der Session nutzen und verstehen nicht, wieso die umschalten müssen, oder Daten kopieren von a nach b.
Alles Dinge, mit denen sich der user nicht befasst.
Erinnere Deinen Geschäftsführer daran, dass er hauptverantwortlich ist und erinnere Dich selbst daran, dass Du Dich auch absichern musst.
Solche Befehle lasse ich mir immer schriftlich geben.
Adminrechte = Weg des geringsten Widerstandes = NEIN
VLANs schützen ebenfalls nicht vor Schadsoftware, Layer 2 und so.
Dein Schadsoftwareschutz sollte vorbereitet sein.
Backupkonzepte und Redundanz.
Dinge, die der User nicht mitbekommt.
Der will nur ungestört arbeiten und nicht darüber nachdenken.
Ach ja, und niemals Adminrechte an die User verteilen.
keine Adminrechte für User.
Gibt es einfach nicht.
Wenn eine Applikation unbedingt Adminrechte braucht, rauswerfen oder dem Hersteller damit drohen und ihn Knechten, das zu regulieren.
Oder aber via Berechtigungen die Regestryeinträge und Dateisystemberechtigungen setzen, sofern das geht.
Alles andere ist Risiko.
Eigene VLANs mit TS Verbindungen muss den Usern auch erstmal beigebracht werden, dann wollen die Ihre Programme dann in der Session nutzen und verstehen nicht, wieso die umschalten müssen, oder Daten kopieren von a nach b.
Alles Dinge, mit denen sich der user nicht befasst.
Erinnere Deinen Geschäftsführer daran, dass er hauptverantwortlich ist und erinnere Dich selbst daran, dass Du Dich auch absichern musst.
Solche Befehle lasse ich mir immer schriftlich geben.
Adminrechte = Weg des geringsten Widerstandes = NEIN
VLANs schützen ebenfalls nicht vor Schadsoftware, Layer 2 und so.
Dein Schadsoftwareschutz sollte vorbereitet sein.
Backupkonzepte und Redundanz.
Dinge, die der User nicht mitbekommt.
Der will nur ungestört arbeiten und nicht darüber nachdenken.
Ach ja, und niemals Adminrechte an die User verteilen.
Applikationen, die so schlecht programmiert sind, dass sie (scheinbar) Adminrechte benötigen, sind kein Grund für eine wie auch immer geartete Rechteausweitung der User. Diesem Problem kann man in der Regel mittels Anwendungsvirtualisierung beikommen. Beispielsweise mit vmware ThinApp (ehemals Thinstall).
Gruß
sk
Gruß
sk
Zitat von @Axel90:
@Muesliriegel
die separaten Konten für administrative Tätigkeiten: hat nur jeder IT Mitarbeiter eins oder auch jeder andere Benutzer?
@Muesliriegel
die separaten Konten für administrative Tätigkeiten: hat nur jeder IT Mitarbeiter eins oder auch jeder andere Benutzer?
Nein, nur die IT-Mitarbeiter. Wir haben keinen einzigen normalen User, der Adminrechte hat. Ausnahme: User, die keine Anbindung (auch nicht per VPN) an das Netzwerk haben, sondern einen stand-alone-Rechner irgendwo draußen haben.
