Kein Internet für administrative Accounts Lösungen
Hallo ,
bei uns sollen administrative Accounts für das Internet gesperrt werden. Hat jemand eine praktikable Lösung?
Evtl. Proxyserver usw...??
Gruß,
Christoph
bei uns sollen administrative Accounts für das Internet gesperrt werden. Hat jemand eine praktikable Lösung?
Evtl. Proxyserver usw...??
Gruß,
Christoph
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7191310408
Url: https://administrator.de/contentid/7191310408
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
32 Kommentare
Neuester Kommentar
Moin,
Nur die, die ins WAN dürfen, in eine Gruppe packen und am Proxy erlauben.
Dann hättest du ein Whitelist-Prinzip etabliert...
Gruß
em-pie
bei uns sollen administrative Accounts für das Internet gesperrt werden. Hat jemand eine praktikable Lösung?
Ja, die identifizierten User direkt in der UTM/ dem vorgeschalteten WebProxy aussperren. Oder vielbesser:Nur die, die ins WAN dürfen, in eine Gruppe packen und am Proxy erlauben.
Dann hättest du ein Whitelist-Prinzip etabliert...
Gruß
em-pie
Und die nächste Frage: Was soll das ganze bringen? Wenn jemand mit nem Admin-Acc angemeldet ist sollte er/sie/es wissen was er/sie/es da tut. Und es bringt dir genau gar nix wenn du dann mit nem normalen User halt Dinge ungeprüft runterlädst und mit nem Admin-Acc installierst,... Andersrum musst du ja schauen wie du zB. Updates handhaben willst.
Daher würde ich in erster Linie genau schauen ob du ggf. ein organisatorisches Problem hast - und das wird dann schwer mit technik zu lösen...
Daher würde ich in erster Linie genau schauen ob du ggf. ein organisatorisches Problem hast - und das wird dann schwer mit technik zu lösen...
Zitat von @maretz:
Und die nächste Frage: Was soll das ganze bringen? Wenn jemand mit nem Admin-Acc angemeldet ist sollte er/sie/es wissen was er/sie/es da tut. Und es bringt dir genau gar nix wenn du dann mit nem normalen User halt Dinge ungeprüft runterlädst und mit nem Admin-Acc installierst,... Andersrum musst du ja schauen wie du zB. Updates handhaben willst.
Daher würde ich in erster Linie genau schauen ob du ggf. ein organisatorisches Problem hast - und das wird dann schwer mit technik zu lösen...
Und die nächste Frage: Was soll das ganze bringen? Wenn jemand mit nem Admin-Acc angemeldet ist sollte er/sie/es wissen was er/sie/es da tut. Und es bringt dir genau gar nix wenn du dann mit nem normalen User halt Dinge ungeprüft runterlädst und mit nem Admin-Acc installierst,... Andersrum musst du ja schauen wie du zB. Updates handhaben willst.
Daher würde ich in erster Linie genau schauen ob du ggf. ein organisatorisches Problem hast - und das wird dann schwer mit technik zu lösen...
Ich glaube mit administrativ ist eher die Sekretärin oder der Persönliche Cheff Assi gemeint
Ich würde Squid sagen. Hab den aber nie ausprobiert.
Das sind ja ganz neue Marotten... Wer lässt sich so einen Blödsinn gefallen?
Moin,
Gruß,
Dani
Ein Proxy ist mir aber auch sympatisch. Welcehn könnt Ihr da empfehlen?
Zscaler. Ist vermutlich aber eine Kanone...bei uns sollen administrative Accounts für das Internet gesperrt werden. Hat jemand eine praktikable Lösung?
Ich würde den Spieß umdrehen. Was nicht explizit erlaubt ist (IP-Adresse und Benutzer) ist gesperrt. Alles andere ist doch heutzutage ein schwarzes Loch, wo du keinerlei Überblick mehr hast.Gruß,
Dani
Hallo,
Worum geht es denn? Hast Du die originalen Anforderungen der Zertifizierung gelesen - oder nur eine Lösungs-Blaupause, die Du vor hast zu kopieren?
Grüße
lcer
Worum geht es denn? Hast Du die originalen Anforderungen der Zertifizierung gelesen - oder nur eine Lösungs-Blaupause, die Du vor hast zu kopieren?
Grüße
lcer
Administrative Accounts fürs Internet zu sperren mach wenig Sinn. Daher ist es sinnvoll zu wissen, für welche Zertifizierung und wie die Anforderungen im Wortlaut sind.
Account basierte Sperrungen sind nur über Proxys oder über WLAN mit Anmeldung möglich. Da sich der Admin aber dann mit seinem nicht privilegierten Account am Proxy anmeldet, kann dieser dann trotzdem einfach Sachen runterladen und gleich installieren.
Das einzige was wirklich Sinn macht:
Administrative Accounts aus dem Internet zu sperren. Bedeutet: Es soll nicht möglich sein sich von aussen mit administrativen Accounts einzuloggen, RDP, SSH , FTP, Webmail, Exchange, ...
Daher ist der genaue Wortlaut der Zertifizierungsanforderung nötig.
Account basierte Sperrungen sind nur über Proxys oder über WLAN mit Anmeldung möglich. Da sich der Admin aber dann mit seinem nicht privilegierten Account am Proxy anmeldet, kann dieser dann trotzdem einfach Sachen runterladen und gleich installieren.
Das einzige was wirklich Sinn macht:
Administrative Accounts aus dem Internet zu sperren. Bedeutet: Es soll nicht möglich sein sich von aussen mit administrativen Accounts einzuloggen, RDP, SSH , FTP, Webmail, Exchange, ...
Daher ist der genaue Wortlaut der Zertifizierungsanforderung nötig.
@QDaniel
Gruß,
Dani
Administrative Accounts fürs Internet zu sperren mach wenig Sinn.
Interessanter Ansatz. Möchtest du mal den Sicherheitsgewinn erläutern?Gruß,
Dani
Hallo,
Der Zerifizierer prüft und bestätigt das Übereinstimmen Eurer Regelungen/Einstellungen mit einer Richtlinie. Die Richtlinie schreibt etwas vor - nicht der Zertifizierer. Daher - lies die Richtlinie.
Grüße
lcer
Der Zerifizierer prüft und bestätigt das Übereinstimmen Eurer Regelungen/Einstellungen mit einer Richtlinie. Die Richtlinie schreibt etwas vor - nicht der Zertifizierer. Daher - lies die Richtlinie.
Grüße
lcer
mal ehrlich - welches Zertifikat soll das sein? Ich mein - ok, dann blockst du den User "administrator" - na fein... und deine 200 anderen Accounts die ebenfalls in der Gruppe "Domain-Admin" sind? Und jetzt blockst du die auch - gut, wie spielst du zB. Updates für Windows ein? Und was ist mit dem Programm XYZ was du dann eben als User X runtergeladen und auf den Server im Laufwerk "n" speicherst - voller Viren und Trojaner? DAS kannst du dann als Admin aber ja ausführen weil es ja schließlich lokal ist...
Wenn dein Zertifikat also den Unsinn vorschreibt - nun, dann würde ich mal sagen ist der SINN des Zertifikats eher fraglich... Am Ende macht die Einhaltung nämlich dein System eher unsicherer...
Wenn dein Zertifikat also den Unsinn vorschreibt - nun, dann würde ich mal sagen ist der SINN des Zertifikats eher fraglich... Am Ende macht die Einhaltung nämlich dein System eher unsicherer...
Hm dann stellt sich mir die Frage wie ein administrativer Account eine Recherche durchführen soll?
Eine solche Forderung, zeigt nur mehr auf, wie rückständig die Zertifizierungstellen in Wahrheit sind, wir sind im Jahre 2023 nicht 1713......
Geht er dann in eure Bibliothek mit einer Kerze dafür?
grüße
Eine solche Forderung, zeigt nur mehr auf, wie rückständig die Zertifizierungstellen in Wahrheit sind, wir sind im Jahre 2023 nicht 1713......
Geht er dann in eure Bibliothek mit einer Kerze dafür?
grüße
Zitat von @godlie:
Hm dann stellt sich mir die Frage wie ein administrativer Account eine Recherche durchführen soll?
Eine solche Forderung, zeigt nur mehr auf, wie rückständig die Zertifizierungstellen in Wahrheit sind, wir sind im Jahre 2023 nicht 1713......
Geht er dann in eure Bibliothek mit einer Kerze dafür?
grüße
Hm dann stellt sich mir die Frage wie ein administrativer Account eine Recherche durchführen soll?
Eine solche Forderung, zeigt nur mehr auf, wie rückständig die Zertifizierungstellen in Wahrheit sind, wir sind im Jahre 2023 nicht 1713......
Geht er dann in eure Bibliothek mit einer Kerze dafür?
grüße
Grundsätzlich muss man nicht mit Admin Rechten arbeiten. Dafür gibt es die UAC auf den Clients. Und Recherche auf dem Server gehört da eh nicht hin.
Meine Meinung.
VG
Zitat von @Tezzla:
Grundsätzlich muss man nicht mit Admin Rechten arbeiten. Dafür gibt es die UAC auf den Clients. Und Recherche auf dem Server gehört da eh nicht hin.
Meine Meinung.
VG
Zitat von @godlie:
Hm dann stellt sich mir die Frage wie ein administrativer Account eine Recherche durchführen soll?
Eine solche Forderung, zeigt nur mehr auf, wie rückständig die Zertifizierungstellen in Wahrheit sind, wir sind im Jahre 2023 nicht 1713......
Geht er dann in eure Bibliothek mit einer Kerze dafür?
grüße
Hm dann stellt sich mir die Frage wie ein administrativer Account eine Recherche durchführen soll?
Eine solche Forderung, zeigt nur mehr auf, wie rückständig die Zertifizierungstellen in Wahrheit sind, wir sind im Jahre 2023 nicht 1713......
Geht er dann in eure Bibliothek mit einer Kerze dafür?
grüße
Grundsätzlich muss man nicht mit Admin Rechten arbeiten. Dafür gibt es die UAC auf den Clients. Und Recherche auf dem Server gehört da eh nicht hin.
Meine Meinung.
VG
Administrative Accounts <-- sollten Accounts der Sekträterin, Buchhaltung, Assistenz der GF sein,
nicht ADMIN Accounts.
Sollten Admin Accounts damit gemeint sein, wäre es ja noch sinnloser, ein Admin soll keine Zugang zum Inet haben?
Die Österreichische Bahn wollte uns vor Jahren auch in so nen Schwachsinn reinboxen, wir haben denen dann erklärt, dass uns nicht mal Airbus oder Boing so etwas vorschreibt, dann gings auf einmal ....
grüße
grüße
Ich denke, Fraky hat da sowas beschrieben.
https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sic ...
Und eben auch in den weiteren Teilen.
Und ja, mit administrativen Accounts dürften eher keine Admin-Accounts gemeint sein.
https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sic ...
Und eben auch in den weiteren Teilen.
Und ja, mit administrativen Accounts dürften eher keine Admin-Accounts gemeint sein.
Zitat von @Tezzla:
D.h. Du arbeitest tagtäglich mit Adminrechten im Normalmodus, beim Surfen etc?
Würde ich zB nicht machen. Ist ein unnötiges Sicherheitsrisiko, egal wie fähig die Person vor dem Schirm ist.
Aber wie gesagt: Meine Meinung.
D.h. Du arbeitest tagtäglich mit Adminrechten im Normalmodus, beim Surfen etc?
Würde ich zB nicht machen. Ist ein unnötiges Sicherheitsrisiko, egal wie fähig die Person vor dem Schirm ist.
Aber wie gesagt: Meine Meinung.
Interessante Interpretation, ich kann dich beruhigen, ich arbeite seit 13 Jahren nicht mehr mit Windows Systemen, auf einem Mac oder Linux System, brauch man selten root Rechte.
grüße
@godlie
@Anulu1
Gruß,
Dani
Administrative Accounts <-- sollten Accounts der Sekträterin, Buchhaltung, Assistenz der GF sein, nicht ADMIN Accounts.
Sorry, aber solch eine Interpretation des Begriffs habe ich noch nie gelesen/gehört. Eigentlich sind deine Beispiele Funktionen/Rolle die eine Person ausführt. Daher wird dem persönlichen Account die Rechte und Programme zugewiesen, um die Funktion zu erfüllen. Ist die Person evtl. Key User so hat man in der Regel einen weiteren Account. Kommen dann noch Administrative Tätigkeiten dazu, gibt es nochmals einen Account.Sollten Admin Accounts damit gemeint sein, wäre es ja noch sinnloser, ein Admin soll keine Zugang zum Inet haben?
Tausche das Wort "soll" durch "darf". Dann sind wir einer Meinung.@Anulu1
Beschränkung des Internetzugangs für administrative Accounts
Administrative Accounts haben grundsätzlich keinen Zugang zum Internet.
Damit ist doch die Frage beantwortet, oder?Administrative Accounts haben grundsätzlich keinen Zugang zum Internet.
Gruß,
Dani
Nun - in dem Fall würde ich den Berater mal ins Haus holen und er/sie soll zeigen wie das geht. DAFÜR bekommen die ja eben Geld - grade wenn es wirklich um benutzerbasierten Internetzugang geht. Das SERVER ggf. nicht unbedingt überall ins Netz dürfen - keine Frage. Da ist es aber egal ob sich da der Admin oder der Hausmeister anmeldet... (man könnte höchstens fragen warum letzter das darf). Aber das du als normaler User da jeden sch... runterladen darfst und dann als Admin ausführen macht für mich einfach keinen Sinn. Da wird der Berater aber ja sicher ne Lösung für haben, schließlich wird der dafür ja bezahlt...
Moin, und so macht das ja auch gleich mal Sinn! Denn das fürs Surfen im Internet ein Nicht-Admin Account vorzuziehen ist - gar keine Frage. Ich denke DA gibt es hier auch absolut keine zwei Meinungen. Mit dieser Formulierung ist aber eben der Download von Updates weiterhin möglich...
Das ganze zusammen mit ner guten Firewall die eben bei Servern ggf. sogar verbietet (unabhängig vom Benutzer) einfach mal fröhlich im Web zu surfen sondern eben nur die wirklich relevanten URLs erreichbar lässt und es ist schon ein recht guter Ansatz (aus meiner Sicht). Wenn der Admin dann noch nen bisserl überlegt bevor er/sie/es anklickt (nur weil in der Computerbild grad steht das die Software xyz ja soo super optimiert muss die ja nich gleich aufm Server) ist das ganze schon ziemlich gut
Das ganze zusammen mit ner guten Firewall die eben bei Servern ggf. sogar verbietet (unabhängig vom Benutzer) einfach mal fröhlich im Web zu surfen sondern eben nur die wirklich relevanten URLs erreichbar lässt und es ist schon ein recht guter Ansatz (aus meiner Sicht). Wenn der Admin dann noch nen bisserl überlegt bevor er/sie/es anklickt (nur weil in der Computerbild grad steht das die Software xyz ja soo super optimiert muss die ja nich gleich aufm Server) ist das ganze schon ziemlich gut