anulu1
Goto Top

Kein Internet für administrative Accounts Lösungen

Hallo ,

bei uns sollen administrative Accounts für das Internet gesperrt werden. Hat jemand eine praktikable Lösung?

Evtl. Proxyserver usw...??

Gruß,
Christoph

Content-ID: 7191310408

Url: https://administrator.de/contentid/7191310408

Ausgedruckt am: 13.11.2024 um 10:11 Uhr

em-pie
em-pie 17.05.2023 um 13:30:05 Uhr
Goto Top
Moin,

bei uns sollen administrative Accounts für das Internet gesperrt werden. Hat jemand eine praktikable Lösung?
Ja, die identifizierten User direkt in der UTM/ dem vorgeschalteten WebProxy aussperren. Oder vielbesser:
Nur die, die ins WAN dürfen, in eine Gruppe packen und am Proxy erlauben.

Dann hättest du ein Whitelist-Prinzip etabliert...

Gruß
em-pie
Tezzla
Tezzla 17.05.2023 um 13:38:01 Uhr
Goto Top
Moin,

solltest du z.B. ESET im Einsatz haben, kannst du hier benutzerbezogene Regeln definieren.
Proxyserver und Co gehen aber natürlich auch. Die Frage ist halt immer: Was steht zur Verfügung?

VG
Anulu1
Anulu1 17.05.2023 um 14:12:22 Uhr
Goto Top
Hallo,
wir haben Trend Micro WFBS und als Firewall Sonicwall.
Geht sowas nicht einfach über GPO`s?

Ein Proxy ist mir aber auch sympatisch. Welcehn könnt Ihr da empfehlen?
maretz
maretz 17.05.2023 um 14:14:20 Uhr
Goto Top
Und die nächste Frage: Was soll das ganze bringen? Wenn jemand mit nem Admin-Acc angemeldet ist sollte er/sie/es wissen was er/sie/es da tut. Und es bringt dir genau gar nix wenn du dann mit nem normalen User halt Dinge ungeprüft runterlädst und mit nem Admin-Acc installierst,... Andersrum musst du ja schauen wie du zB. Updates handhaben willst.

Daher würde ich in erster Linie genau schauen ob du ggf. ein organisatorisches Problem hast - und das wird dann schwer mit technik zu lösen...
godlie
godlie 17.05.2023 um 14:29:20 Uhr
Goto Top
Zitat von @maretz:

Und die nächste Frage: Was soll das ganze bringen? Wenn jemand mit nem Admin-Acc angemeldet ist sollte er/sie/es wissen was er/sie/es da tut. Und es bringt dir genau gar nix wenn du dann mit nem normalen User halt Dinge ungeprüft runterlädst und mit nem Admin-Acc installierst,... Andersrum musst du ja schauen wie du zB. Updates handhaben willst.

Daher würde ich in erster Linie genau schauen ob du ggf. ein organisatorisches Problem hast - und das wird dann schwer mit technik zu lösen...

Ich glaube mit administrativ ist eher die Sekretärin oder der Persönliche Cheff Assi gemeint face-smile
kpunkt
kpunkt 17.05.2023 um 14:31:17 Uhr
Goto Top
Zitat von @Anulu1:

Ein Proxy ist mir aber auch sympatisch. Welcehn könnt Ihr da empfehlen?
Ich würde Squid sagen. Hab den aber nie ausprobiert.
Anulu1
Anulu1 17.05.2023 um 14:36:16 Uhr
Goto Top
Das wird wegen einer Zertifizierung so vorgegeben. Daher hilft es nix...
godlie
godlie 17.05.2023 um 14:39:18 Uhr
Goto Top
Zitat von @Anulu1:

Das wird wegen einer Zertifizierung so vorgegeben. Daher hilft es nix...

Das sind ja ganz neue Marotten... Wer lässt sich so einen Blödsinn gefallen?
Anulu1
Anulu1 17.05.2023 um 15:20:39 Uhr
Goto Top
Ich probier mal squid…um die Zertifizierung kommen wir nicht rum…
Dani
Dani 17.05.2023 um 19:34:02 Uhr
Goto Top
Moin,
Ein Proxy ist mir aber auch sympatisch. Welcehn könnt Ihr da empfehlen?
Zscaler. Ist vermutlich aber eine Kanone...

bei uns sollen administrative Accounts für das Internet gesperrt werden. Hat jemand eine praktikable Lösung?
Ich würde den Spieß umdrehen. Was nicht explizit erlaubt ist (IP-Adresse und Benutzer) ist gesperrt. Alles andere ist doch heutzutage ein schwarzes Loch, wo du keinerlei Überblick mehr hast.

Gruß,
Dani
lcer00
lcer00 17.05.2023 um 22:03:04 Uhr
Goto Top
Hallo,
Zitat von @Anulu1:

…um die Zertifizierung kommen wir nicht rum…
Worum geht es denn? Hast Du die originalen Anforderungen der Zertifizierung gelesen - oder nur eine Lösungs-Blaupause, die Du vor hast zu kopieren?

Grüße

lcer
QDaniel
QDaniel 18.05.2023 um 22:11:45 Uhr
Goto Top
Administrative Accounts fürs Internet zu sperren mach wenig Sinn. Daher ist es sinnvoll zu wissen, für welche Zertifizierung und wie die Anforderungen im Wortlaut sind.

Account basierte Sperrungen sind nur über Proxys oder über WLAN mit Anmeldung möglich. Da sich der Admin aber dann mit seinem nicht privilegierten Account am Proxy anmeldet, kann dieser dann trotzdem einfach Sachen runterladen und gleich installieren.

Das einzige was wirklich Sinn macht:

Administrative Accounts aus dem Internet zu sperren. Bedeutet: Es soll nicht möglich sein sich von aussen mit administrativen Accounts einzuloggen, RDP, SSH , FTP, Webmail, Exchange, ...

Daher ist der genaue Wortlaut der Zertifizierungsanforderung nötig.
Dani
Dani 19.05.2023 um 16:51:43 Uhr
Goto Top
@QDaniel
Administrative Accounts fürs Internet zu sperren mach wenig Sinn.
Interessanter Ansatz. Möchtest du mal den Sicherheitsgewinn erläutern?


Gruß,
Dani
Anulu1
Anulu1 20.05.2023 um 09:54:00 Uhr
Goto Top
Das will der Zertifizierer so. Eigentlich macht es das Arbeiten in der IT Abteilung komplizierter. Am liebsten wäre mir eine Richtlinie in der man Ausnahmen genehmigt. Ob ich überzeugen kann stellt sich noch raus.Von aussen gibts nur 2Faktor VPN für alle. Das ist allerdings schon sinnvoll.
lcer00
lcer00 20.05.2023 um 10:23:24 Uhr
Goto Top
Hallo,
Zitat von @Anulu1:

Das will der Zertifizierer so.
Der Zerifizierer prüft und bestätigt das Übereinstimmen Eurer Regelungen/Einstellungen mit einer Richtlinie. Die Richtlinie schreibt etwas vor - nicht der Zertifizierer. Daher - lies die Richtlinie.

Grüße

lcer
maretz
maretz 20.05.2023 um 11:32:16 Uhr
Goto Top
mal ehrlich - welches Zertifikat soll das sein? Ich mein - ok, dann blockst du den User "administrator" - na fein... und deine 200 anderen Accounts die ebenfalls in der Gruppe "Domain-Admin" sind? Und jetzt blockst du die auch - gut, wie spielst du zB. Updates für Windows ein? Und was ist mit dem Programm XYZ was du dann eben als User X runtergeladen und auf den Server im Laufwerk "n" speicherst - voller Viren und Trojaner? DAS kannst du dann als Admin aber ja ausführen weil es ja schließlich lokal ist...

Wenn dein Zertifikat also den Unsinn vorschreibt - nun, dann würde ich mal sagen ist der SINN des Zertifikats eher fraglich... Am Ende macht die Einhaltung nämlich dein System eher unsicherer...
Anulu1
Anulu1 20.05.2023 um 12:36:48 Uhr
Goto Top
Isis12 ….ein externer Berater schreibt die Richtlinie und will genau das…also nix zu machen…
Anulu1
Anulu1 20.05.2023 um 12:47:26 Uhr
Goto Top
Allerdings wundert mich das auch …
maretz
maretz 20.05.2023 um 13:12:23 Uhr
Goto Top
Ich würde den externen Berater bitten zu zeigen wo das definiert ist... Ich mein - nix gegen externe Berater, man sieht ja u.A. bei der Bundeswehr das die immer wieder vertrauenswürdig sind wenn man die gleich zu hunderten ranzieht.... Und nie würden die eigene Interessen durchdrücken wollen...
QDaniel
QDaniel 20.05.2023 um 22:42:17 Uhr
Goto Top
Also raten macht hier wenig Sinn.

Entweder ist es ein Berater, dann solltet ihr euch nen anderen suchen, Berater beraten nur und legen nichts fest.

Oder es ist eine Zertifizierung dann benötigen wir hier zumindest nen Auszug aus dem genauen Wortlaut der Richtlinien.
Anulu1
Anulu1 22.05.2023 um 07:40:15 Uhr
Goto Top
Hier der Wortlaut....

Beschränkung des Internetzugangs für administrative Accounts

Administrative Accounts haben grundsätzlich keinen Zugang zum Internet.

Unmissverständlich....
godlie
godlie 22.05.2023 aktualisiert um 07:48:56 Uhr
Goto Top
Hm dann stellt sich mir die Frage wie ein administrativer Account eine Recherche durchführen soll?

Eine solche Forderung, zeigt nur mehr auf, wie rückständig die Zertifizierungstellen in Wahrheit sind, wir sind im Jahre 2023 nicht 1713......

Geht er dann in eure Bibliothek mit einer Kerze dafür? face-smile

grüße
Tezzla
Tezzla 22.05.2023 um 07:53:35 Uhr
Goto Top
Zitat von @godlie:

Hm dann stellt sich mir die Frage wie ein administrativer Account eine Recherche durchführen soll?

Eine solche Forderung, zeigt nur mehr auf, wie rückständig die Zertifizierungstellen in Wahrheit sind, wir sind im Jahre 2023 nicht 1713......

Geht er dann in eure Bibliothek mit einer Kerze dafür? face-smile

grüße

Grundsätzlich muss man nicht mit Admin Rechten arbeiten. Dafür gibt es die UAC auf den Clients. Und Recherche auf dem Server gehört da eh nicht hin.
Meine Meinung.

VG
godlie
godlie 22.05.2023 um 07:57:52 Uhr
Goto Top
Zitat von @Tezzla:

Zitat von @godlie:

Hm dann stellt sich mir die Frage wie ein administrativer Account eine Recherche durchführen soll?

Eine solche Forderung, zeigt nur mehr auf, wie rückständig die Zertifizierungstellen in Wahrheit sind, wir sind im Jahre 2023 nicht 1713......

Geht er dann in eure Bibliothek mit einer Kerze dafür? face-smile

grüße

Grundsätzlich muss man nicht mit Admin Rechten arbeiten. Dafür gibt es die UAC auf den Clients. Und Recherche auf dem Server gehört da eh nicht hin.
Meine Meinung.

VG

Administrative Accounts <-- sollten Accounts der Sekträterin, Buchhaltung, Assistenz der GF sein,
nicht ADMIN Accounts.

Sollten Admin Accounts damit gemeint sein, wäre es ja noch sinnloser, ein Admin soll keine Zugang zum Inet haben?

Die Österreichische Bahn wollte uns vor Jahren auch in so nen Schwachsinn reinboxen, wir haben denen dann erklärt, dass uns nicht mal Airbus oder Boing so etwas vorschreibt, dann gings auf einmal ....

grüße
grüße
Tezzla
Tezzla 22.05.2023 um 08:14:36 Uhr
Goto Top
D.h. Du arbeitest tagtäglich mit Adminrechten im Normalmodus, beim Surfen etc?
Würde ich zB nicht machen. Ist ein unnötiges Sicherheitsrisiko, egal wie fähig die Person vor dem Schirm ist.
Aber wie gesagt: Meine Meinung.
kpunkt
kpunkt 22.05.2023 aktualisiert um 08:18:29 Uhr
Goto Top
Ich denke, Fraky hat da sowas beschrieben.
https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sic ...
Und eben auch in den weiteren Teilen.

Und ja, mit administrativen Accounts dürften eher keine Admin-Accounts gemeint sein.
godlie
godlie 22.05.2023 um 08:24:50 Uhr
Goto Top
Zitat von @Tezzla:

D.h. Du arbeitest tagtäglich mit Adminrechten im Normalmodus, beim Surfen etc?
Würde ich zB nicht machen. Ist ein unnötiges Sicherheitsrisiko, egal wie fähig die Person vor dem Schirm ist.
Aber wie gesagt: Meine Meinung.

Interessante Interpretation, ich kann dich beruhigen, ich arbeite seit 13 Jahren nicht mehr mit Windows Systemen, auf einem Mac oder Linux System, brauch man selten root Rechte.

grüße
Anulu1
Anulu1 22.05.2023 um 08:39:06 Uhr
Goto Top
Natürlich nicht..jeder Admin hat zusätzlich einen Adminuser
Dani
Dani 22.05.2023 um 12:33:16 Uhr
Goto Top
@godlie
Administrative Accounts <-- sollten Accounts der Sekträterin, Buchhaltung, Assistenz der GF sein, nicht ADMIN Accounts.
Sorry, aber solch eine Interpretation des Begriffs habe ich noch nie gelesen/gehört. Eigentlich sind deine Beispiele Funktionen/Rolle die eine Person ausführt. Daher wird dem persönlichen Account die Rechte und Programme zugewiesen, um die Funktion zu erfüllen. Ist die Person evtl. Key User so hat man in der Regel einen weiteren Account. Kommen dann noch Administrative Tätigkeiten dazu, gibt es nochmals einen Account.

Sollten Admin Accounts damit gemeint sein, wäre es ja noch sinnloser, ein Admin soll keine Zugang zum Inet haben?
Tausche das Wort "soll" durch "darf". Dann sind wir einer Meinung.

@Anulu1
Beschränkung des Internetzugangs für administrative Accounts
Administrative Accounts haben grundsätzlich keinen Zugang zum Internet.
Damit ist doch die Frage beantwortet, oder?


Gruß,
Dani
maretz
maretz 22.05.2023 um 13:20:04 Uhr
Goto Top
Nun - in dem Fall würde ich den Berater mal ins Haus holen und er/sie soll zeigen wie das geht. DAFÜR bekommen die ja eben Geld - grade wenn es wirklich um benutzerbasierten Internetzugang geht. Das SERVER ggf. nicht unbedingt überall ins Netz dürfen - keine Frage. Da ist es aber egal ob sich da der Admin oder der Hausmeister anmeldet... (man könnte höchstens fragen warum letzter das darf). Aber das du als normaler User da jeden sch... runterladen darfst und dann als Admin ausführen macht für mich einfach keinen Sinn. Da wird der Berater aber ja sicher ne Lösung für haben, schließlich wird der dafür ja bezahlt...
Anulu1
Lösung Anulu1 23.05.2023 um 22:20:37 Uhr
Goto Top
Habs jetzt nochmal direkt besprochen. Es wird abgeschwächt. Admins dürfen wenn notwendig. Es ist aber deren nicht administrativer Account vorzuziehen. An der konkreten Formulierung arbeiten wir noch aber sinngemäß wird es so akzeptiert. Trotzdem interessantes Thema weil ich mich dadurch mit dem Proxy beschäftigt habe.
Danke an alle😊
maretz
maretz 24.05.2023 um 05:33:02 Uhr
Goto Top
Moin, und so macht das ja auch gleich mal Sinn! Denn das fürs Surfen im Internet ein Nicht-Admin Account vorzuziehen ist - gar keine Frage. Ich denke DA gibt es hier auch absolut keine zwei Meinungen. Mit dieser Formulierung ist aber eben der Download von Updates weiterhin möglich...

Das ganze zusammen mit ner guten Firewall die eben bei Servern ggf. sogar verbietet (unabhängig vom Benutzer) einfach mal fröhlich im Web zu surfen sondern eben nur die wirklich relevanten URLs erreichbar lässt und es ist schon ein recht guter Ansatz (aus meiner Sicht). Wenn der Admin dann noch nen bisserl überlegt bevor er/sie/es anklickt (nur weil in der Computerbild grad steht das die Software xyz ja soo super optimiert muss die ja nich gleich aufm Server) ist das ganze schon ziemlich gut face-smile