
113726
05.11.2013
Clientcomputer zugriff auf Remote sperren
Hallo,
wir haben leider etwas "Zoff" mit unserm Servicetechniker, der unseren SBS damals aufgestellt hat.
Er hat sich schon einmal "beabsichtigt" auf unseren Server von Fern geschaltet und ich will ihn jetzt sperren, nicht das er irgendwie aus Frust Misst macht.
Ich denke das Admin Passwort ändern reicht nicht.
Was könnte ich noch ändern, um zb auch die VPN Verbindung zu sperren für die feste IP? Ohne VPN Verbindung kann er ja nicht zugreifen.
Danke im Voraus.
Manuel
wir haben leider etwas "Zoff" mit unserm Servicetechniker, der unseren SBS damals aufgestellt hat.
Er hat sich schon einmal "beabsichtigt" auf unseren Server von Fern geschaltet und ich will ihn jetzt sperren, nicht das er irgendwie aus Frust Misst macht.
Ich denke das Admin Passwort ändern reicht nicht.
Was könnte ich noch ändern, um zb auch die VPN Verbindung zu sperren für die feste IP? Ohne VPN Verbindung kann er ja nicht zugreifen.
Danke im Voraus.
Manuel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 221163
Url: https://administrator.de/forum/clientcomputer-zugriff-auf-remote-sperren-221163.html
Ausgedruckt am: 03.04.2025 um 19:04 Uhr
35 Kommentare
Neuester Kommentar
Zitat von @113726:
Moin Slainte,
also zurzeit hängt nur eine Fritzbox davor dran, dann Internet. (Soll sich aber ändern)
Er verbindet sich per Remote Desktop.
Und, gibts eine Portweiterleitung? Oder ist auf der Fritz ein VPN Zugang eingerichtet?Moin Slainte,
also zurzeit hängt nur eine Fritzbox davor dran, dann Internet. (Soll sich aber ändern)
Er verbindet sich per Remote Desktop.
Kann ich das Kennwort des Admins einfach im AD zurück setzen und ohne Neustart übernehmen?
Ja kannst du. Evtl. solltest Du dir aber mal überlegen jemand zu beauftragen der Ahnung von SBS Umgebungen hat sonst sitzt du uU schnell vor einem Scherbenhaufen.Zitat von @113726:
Ja in der Fritzbox gibt es eine Weiterleitung VPN.
Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.
Ja in der Fritzbox gibt es eine Weiterleitung VPN.
Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.
bis die katastrophe kommt.
1. eigentlich müßen verschiedene, nominälle, admin-kotnen eingerichtet sein.
2. sperrst du sein VPN zugriff, bleibt er draußen stehen.
3. deaktivierst du sein admin kennwort kann er auch nicht auf domäne zugreifen.
4. hat er vielleicht noch die domänewiederherstellungszugang bei sich?evtl die lokal admins?
5. kennt er vielleicht die kennwörter und die vpn-zugriffe der hälfte eurer mitarbeiter?
du kannst versuchen es zu sperren ... google wird nicht sehr viel helfen sonder die IT sicherheitsfragenkatalog von BSI
LG, ticuta1
Zitat von @113726:
> Zitat von @ticuta1:
> ----
> > Zitat von @113726:
> > ----
> > Ja in der Fritzbox gibt es eine Weiterleitung VPN.
> >
> > Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.
>
> bis die katastrophe kommt.
>
> 1. eigentlich müßen verschiedene, nominälle, admin-kotnen eingerichtet sein.
> 2. sperrst du sein VPN zugriff, bleibt er draußen stehen.
> 3. deaktivierst du sein admin kennwort kann er auch nicht auf domäne zugreifen.
> 4. hat er vielleicht noch die domänewiederherstellungszugang bei sich?evtl die lokal admins?
> 5. kennt er vielleicht die kennwörter und die vpn-zugriffe der hälfte eurer mitarbeiter?
> du kannst versuchen es zu sperren ... google wird nicht sehr viel helfen sonder die IT sicherheitsfragenkatalog von BSI
> LG, ticuta1
zu 1: es ist wirklich nur 1 Administratorkonto angelegt im AD
dann für dich einen zweiten admin einrichten [der vorhandenen klonen] und dann der standardadmin deaktivieren.> Zitat von @ticuta1:
> ----
> > Zitat von @113726:
> > ----
> > Ja in der Fritzbox gibt es eine Weiterleitung VPN.
> >
> > Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.
>
> bis die katastrophe kommt.
>
> 1. eigentlich müßen verschiedene, nominälle, admin-kotnen eingerichtet sein.
> 2. sperrst du sein VPN zugriff, bleibt er draußen stehen.
> 3. deaktivierst du sein admin kennwort kann er auch nicht auf domäne zugreifen.
> 4. hat er vielleicht noch die domänewiederherstellungszugang bei sich?evtl die lokal admins?
> 5. kennt er vielleicht die kennwörter und die vpn-zugriffe der hälfte eurer mitarbeiter?
> du kannst versuchen es zu sperren ... google wird nicht sehr viel helfen sonder die IT sicherheitsfragenkatalog von BSI
> LG, ticuta1
zu 1: es ist wirklich nur 1 Administratorkonto angelegt im AD
zu 2: siehe oben, geht leider nicht da ich selbst VPN benötige. Sonst kann ich ja nicht von daheim aus bzw. mit dem
Smartphone auf dem Server zugreifen ohne VPN oder?
ein persönliches VPN konto erstellen, testen und dann sein sperren.Smartphone auf dem Server zugreifen ohne VPN oder?
zu 3: er hat keinen eigenen Account. Er loggt sich als Administrator ein.
s. antwort auf 1.zu 4: das weiß ich leider nicht
dan überprüfe das ;) so schwierig ist es nichtzu 5: er kennt die Kennwörter bzw. das Kennwort der VPN Verbindung und des SBS Administrators
wenn nur dei beiden ... kanst du ihm schnell sperren und vergisst nicht dass einen Eventlog auf DC gibt der alles protokoliert.Bisher hat Google selbst bei schwierigen Aufgaben geholfen. Es muss auch Frischlinge in der SBS Administration geben, da muss man
nicht immer gleich eine Firma heran holen. Und wenn es wirklich kompliziert wird, haben wir immer noch eine an der Hand.
PS Juristisch ist das mit einen einzigen Admin nicht sauber
LG, ticuta1
Zitat von @113726:
Danke dir
bitteDanke dir
Das mit dem Admin werde ich so machen, wobei ich natürlich genauso einfach das Passwort ändern kann oder? Müsste ja
das gleiche dabei raus kommen.
Er bzw. ich auch loggen uns ja direkt über das Administratorkonto mit VPN an. Einen separaten VPN Zugang hat er bzw. ich
nicht.
zu 4: Tipps, wie ich das anstelle bzw. wo ich nachschauen muss?
zu 5: Naja gut, er kennt so ziemlich alle Kennwörter des SBS (außer die der Clients). Aber wenn er gar keinen Zugriff
erst hat, nützen ihn die anderen Kennwörter auch nichts.
Sperren tu ich ihn ja, in dem ich das Kennwort ändere.
wie sind die zugriffrichtlinien bei wiederhollten falschangabe des kennworts? (kontosperrung nach 5 falsche angaben? făr 24 stunden oder für 30 min? welche dienste wären in diesem fall betroffen?erst hat, nützen ihn die anderen Kennwörter auch nichts.
Sperren tu ich ihn ja, in dem ich das Kennwort ändere.
Müssen es wirklich mehrere Admins sein? Theoretisch benötigt man ja nur einen uns zwar den, der automatisch bei der SBS
Installation erstellt wird.
Der lokale Admin ist ja eh deaktiviert. (Das hoffe ich zumindest, denn im AD seh ich keinen der
deaktiviert ist, aber er ist bestimmt versteckt)
locale admin wird nicht in AD gelistet sonder in der lokale benutzergruppedeaktiviert ist, aber er ist bestimmt versteckt)
LG,
ticuta1
Zitat von @113726:
> Zitat von @ticuta1:
> ----
> hallo wieder,
> wie sieht´s aus mit Directory Services Restore Mode _Kennwort/Benutzer?
> LG,
> ticuta1
Dürfte ja das gleiche sein als wenn ich direkt im AD das Kennwort zurück setze oder? Ich möchte ja nicht das ganze
AD zurück setzen.
Korrigier mich bitte, wenn ich falsch liegen sollte
> Zitat von @ticuta1:
> ----
> hallo wieder,
> wie sieht´s aus mit Directory Services Restore Mode _Kennwort/Benutzer?
> LG,
> ticuta1
Dürfte ja das gleiche sein als wenn ich direkt im AD das Kennwort zurück setze oder? Ich möchte ja nicht das ganze
AD zurück setzen.
Korrigier mich bitte, wenn ich falsch liegen sollte
es ist einen weiteren AdminKonto der für spezielle / Notfallaufgaben benutzt werden kann :D
dagegen spricht die benutzung eines einfachen portscanners 
LG, ticuta1
LG, ticuta1
Ist schon klar, ab wenn man ihm die Nutzung eines Portscanners nachweisen kann - z.B. dadurch, dass man feststellt, dass er sich trotzdem aufgeschaltet hat - dann geht dies schon über die normale Fernwartung in Richtung Hacking hinaus
Beste Grüße
Manfred

hallo,
in der win firewall kann man über einstellungen ändern in den ausnahmen einige verbindungen blocken probiers mal so
gruß marco
in der win firewall kann man über einstellungen ändern in den ausnahmen einige verbindungen blocken probiers mal so
gruß marco
Zitat von @SlainteMhath:
Boah, das ist ja mal ein Pro-Tipp... Sorry aber hast du dir überhaupt die Fragestellung des TE durchgelesen?!
Hi Slainte,Boah, das ist ja mal ein Pro-Tipp... Sorry aber hast du dir überhaupt die Fragestellung des TE durchgelesen?!
sei doch nicht gleich so ...
... es ist ja nicht so, dass sich @113436 das erste Mal durch solche Aussagen ins Abseits schießt ...
... man kann ja grad froh sein, dass er hier seinen Nonplus-Ultra Tipp Neuinstallation nicht gebracht hat
... für alle die nicht wissen was ich meine: Beim Versuch zu drucken friert der Rechner immer ein
... und mit der Groß- / Kleinschreibung sieht es der User auch nicht so eng - wird ja überbewertet Heutzutage ...
Gruß
@kontext
Moin,
Auch wenn ich recht spät in die Diskussion einsteige hier noch mein Senf dazu:
"Traut" Ihr dem Techniker? Davon hängt im wesentlichen alles weitere ab.
wenn die Antwort nein ist, dann gibt es eigentklich nur folgende grundlegende Maßnahmen (und viele weitere, je nachdem, wie paranoid man ist):
lks
PS: Ihr solltet mit dem Dienstleister eine genaue vereinbarung treffen, ob, wie und wann Zugrfiee von außen erlaubt sind. Das vermeidet Mißverständnisse.
Auch wenn ich recht spät in die Diskussion einsteige hier noch mein Senf dazu:
"Traut" Ihr dem Techniker? Davon hängt im wesentlichen alles weitere ab.
wenn die Antwort nein ist, dann gibt es eigentklich nur folgende grundlegende Maßnahmen (und viele weitere, je nachdem, wie paranoid man ist):
- Zwangsweise alle(!) Paßwöter ändern, bzw. die Benutzer zwingen, diese zu ändern. Lokale Konten nicht vergessen!
- Fritzbox gegen ordentlichen Router/Firewall austauschen.
- In der FW erstmal alles dichtmachen und Verbindungsversuche rein und raus protokollieren.
- VPN mit Zertifikaten einrichten.
- Verbindungen nach draußen über proxy leiten.
- zumindest Server und "wichtige" Arbeitsstationen nach Hintergrundprogrammen scannen.
- Drucker und andere Netzwerkgeräte nicht aus dem Fokus verlieren. Mit diesen kann man über "Fernverwaltung" auch genug Blödsinn anstellen.
lks
PS: Ihr solltet mit dem Dienstleister eine genaue vereinbarung treffen, ob, wie und wann Zugrfiee von außen erlaubt sind. Das vermeidet Mißverständnisse.

Hallo,
keine schlechten Ideen, aber wenn er alle verbindungen blockt, kann er nimmer ins internet.(übers netztwerk)
marco
keine schlechten Ideen, aber wenn er alle verbindungen blockt, kann er nimmer ins internet.(übers netztwerk)
marco
Hey,
keine Ahnung ob die Antwort jetzt ober schon war, aber ich sags trotzdem mal.
Wenn RDP genutzt wird muss es ein Portforwarding geben, wenn du nun statt Port 3389 (RDP) einen anderen nominierst kommt man von extern nicht mehr drauf außer man weiß den neuen Port.
Also statt 3389 => rechner:3389 auf zB.: 63389 => rechner:3389 ändern.
Nur so ein Gedanke.
LG mcdy
keine Ahnung ob die Antwort jetzt ober schon war, aber ich sags trotzdem mal.
Wenn RDP genutzt wird muss es ein Portforwarding geben, wenn du nun statt Port 3389 (RDP) einen anderen nominierst kommt man von extern nicht mehr drauf außer man weiß den neuen Port.
Also statt 3389 => rechner:3389 auf zB.: 63389 => rechner:3389 ändern.
Nur so ein Gedanke.
LG mcdy
Zitat von @113436:
keine schlechten Ideen, aber wenn er alle verbindungen blockt, kann er nimmer ins internet.(übers netztwerk)
keine schlechten Ideen, aber wenn er alle verbindungen blockt, kann er nimmer ins internet.(übers netztwerk)
Muß er ins Internet?
Abgesehen davon war ja die Rede vom kontrollierten Zugang ins Internet, wie z.B. Application level Proxy, wünschenswerterweise gelcih mit Authentifikation. Dann fällt halt auf, wenn Software versucht "nach Hause zu telefonieren".
lks