32
Kein Internet für administrative Accounts Lösungen
Hallo ,
bei uns sollen administrative Accounts für das Internet gesperrt werden. Hat jemand eine praktikable Lösung?
Evtl. Proxyserver usw...??
Gruß,
Christoph
bei uns sollen administrative Accounts für das Internet gesperrt werden. Hat jemand eine praktikable Lösung?
Evtl. Proxyserver usw...??
Gruß,
Christoph
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7191310408
Url: https://administrator.de/contentid/7191310408
Printed on: April 27, 2024 at 14:04 o'clock
32 Comments
Latest comment
Moin,
Nur die, die ins WAN dürfen, in eine Gruppe packen und am Proxy erlauben.
Dann hättest du ein Whitelist-Prinzip etabliert...
Gruß
em-pie
bei uns sollen administrative Accounts für das Internet gesperrt werden. Hat jemand eine praktikable Lösung?
Ja, die identifizierten User direkt in der UTM/ dem vorgeschalteten WebProxy aussperren. Oder vielbesser:Nur die, die ins WAN dürfen, in eine Gruppe packen und am Proxy erlauben.
Dann hättest du ein Whitelist-Prinzip etabliert...
Gruß
em-pie
Moin,
solltest du z.B. ESET im Einsatz haben, kannst du hier benutzerbezogene Regeln definieren.
Proxyserver und Co gehen aber natürlich auch. Die Frage ist halt immer: Was steht zur Verfügung?
VG
solltest du z.B. ESET im Einsatz haben, kannst du hier benutzerbezogene Regeln definieren.
Proxyserver und Co gehen aber natürlich auch. Die Frage ist halt immer: Was steht zur Verfügung?
VG
Hallo,
wir haben Trend Micro WFBS und als Firewall Sonicwall.
Geht sowas nicht einfach über GPO`s?
Ein Proxy ist mir aber auch sympatisch. Welcehn könnt Ihr da empfehlen?
wir haben Trend Micro WFBS und als Firewall Sonicwall.
Geht sowas nicht einfach über GPO`s?
Ein Proxy ist mir aber auch sympatisch. Welcehn könnt Ihr da empfehlen?
Und die nächste Frage: Was soll das ganze bringen? Wenn jemand mit nem Admin-Acc angemeldet ist sollte er/sie/es wissen was er/sie/es da tut. Und es bringt dir genau gar nix wenn du dann mit nem normalen User halt Dinge ungeprüft runterlädst und mit nem Admin-Acc installierst,... Andersrum musst du ja schauen wie du zB. Updates handhaben willst.
Daher würde ich in erster Linie genau schauen ob du ggf. ein organisatorisches Problem hast - und das wird dann schwer mit technik zu lösen...
Daher würde ich in erster Linie genau schauen ob du ggf. ein organisatorisches Problem hast - und das wird dann schwer mit technik zu lösen...
2
Zitat von @maretz:
Und die nächste Frage: Was soll das ganze bringen? Wenn jemand mit nem Admin-Acc angemeldet ist sollte er/sie/es wissen was er/sie/es da tut. Und es bringt dir genau gar nix wenn du dann mit nem normalen User halt Dinge ungeprüft runterlädst und mit nem Admin-Acc installierst,... Andersrum musst du ja schauen wie du zB. Updates handhaben willst.
Daher würde ich in erster Linie genau schauen ob du ggf. ein organisatorisches Problem hast - und das wird dann schwer mit technik zu lösen...
Und die nächste Frage: Was soll das ganze bringen? Wenn jemand mit nem Admin-Acc angemeldet ist sollte er/sie/es wissen was er/sie/es da tut. Und es bringt dir genau gar nix wenn du dann mit nem normalen User halt Dinge ungeprüft runterlädst und mit nem Admin-Acc installierst,... Andersrum musst du ja schauen wie du zB. Updates handhaben willst.
Daher würde ich in erster Linie genau schauen ob du ggf. ein organisatorisches Problem hast - und das wird dann schwer mit technik zu lösen...
Ich glaube mit administrativ ist eher die Sekretärin oder der Persönliche Cheff Assi gemeint
Ich würde Squid sagen. Hab den aber nie ausprobiert.
2
Das wird wegen einer Zertifizierung so vorgegeben. Daher hilft es nix...
Das sind ja ganz neue Marotten... Wer lässt sich so einen Blödsinn gefallen?
1
Ich probier mal squid…um die Zertifizierung kommen wir nicht rum…
Moin,
Gruß,
Dani
Ein Proxy ist mir aber auch sympatisch. Welcehn könnt Ihr da empfehlen?
Zscaler. Ist vermutlich aber eine Kanone...bei uns sollen administrative Accounts für das Internet gesperrt werden. Hat jemand eine praktikable Lösung?
Ich würde den Spieß umdrehen. Was nicht explizit erlaubt ist (IP-Adresse und Benutzer) ist gesperrt. Alles andere ist doch heutzutage ein schwarzes Loch, wo du keinerlei Überblick mehr hast.Gruß,
Dani
1
Hallo,
Worum geht es denn? Hast Du die originalen Anforderungen der Zertifizierung gelesen - oder nur eine Lösungs-Blaupause, die Du vor hast zu kopieren?
Grüße
lcer
Worum geht es denn? Hast Du die originalen Anforderungen der Zertifizierung gelesen - oder nur eine Lösungs-Blaupause, die Du vor hast zu kopieren?
Grüße
lcer
Administrative Accounts fürs Internet zu sperren mach wenig Sinn. Daher ist es sinnvoll zu wissen, für welche Zertifizierung und wie die Anforderungen im Wortlaut sind.
Account basierte Sperrungen sind nur über Proxys oder über WLAN mit Anmeldung möglich. Da sich der Admin aber dann mit seinem nicht privilegierten Account am Proxy anmeldet, kann dieser dann trotzdem einfach Sachen runterladen und gleich installieren.
Das einzige was wirklich Sinn macht:
Administrative Accounts aus dem Internet zu sperren. Bedeutet: Es soll nicht möglich sein sich von aussen mit administrativen Accounts einzuloggen, RDP, SSH , FTP, Webmail, Exchange, ...
Daher ist der genaue Wortlaut der Zertifizierungsanforderung nötig.
Account basierte Sperrungen sind nur über Proxys oder über WLAN mit Anmeldung möglich. Da sich der Admin aber dann mit seinem nicht privilegierten Account am Proxy anmeldet, kann dieser dann trotzdem einfach Sachen runterladen und gleich installieren.
Das einzige was wirklich Sinn macht:
Administrative Accounts aus dem Internet zu sperren. Bedeutet: Es soll nicht möglich sein sich von aussen mit administrativen Accounts einzuloggen, RDP, SSH , FTP, Webmail, Exchange, ...
Daher ist der genaue Wortlaut der Zertifizierungsanforderung nötig.
@QDaniel
Gruß,
Dani
Administrative Accounts fürs Internet zu sperren mach wenig Sinn.
Interessanter Ansatz. Möchtest du mal den Sicherheitsgewinn erläutern?Gruß,
Dani
Das will der Zertifizierer so. Eigentlich macht es das Arbeiten in der IT Abteilung komplizierter. Am liebsten wäre mir eine Richtlinie in der man Ausnahmen genehmigt. Ob ich überzeugen kann stellt sich noch raus.Von aussen gibts nur 2Faktor VPN für alle. Das ist allerdings schon sinnvoll.
Hallo,
Der Zerifizierer prüft und bestätigt das Übereinstimmen Eurer Regelungen/Einstellungen mit einer Richtlinie. Die Richtlinie schreibt etwas vor - nicht der Zertifizierer. Daher - lies die Richtlinie.
Grüße
lcer
Der Zerifizierer prüft und bestätigt das Übereinstimmen Eurer Regelungen/Einstellungen mit einer Richtlinie. Die Richtlinie schreibt etwas vor - nicht der Zertifizierer. Daher - lies die Richtlinie.
Grüße
lcer
mal ehrlich - welches Zertifikat soll das sein? Ich mein - ok, dann blockst du den User "administrator" - na fein... und deine 200 anderen Accounts die ebenfalls in der Gruppe "Domain-Admin" sind? Und jetzt blockst du die auch - gut, wie spielst du zB. Updates für Windows ein? Und was ist mit dem Programm XYZ was du dann eben als User X runtergeladen und auf den Server im Laufwerk "n" speicherst - voller Viren und Trojaner? DAS kannst du dann als Admin aber ja ausführen weil es ja schließlich lokal ist...
Wenn dein Zertifikat also den Unsinn vorschreibt - nun, dann würde ich mal sagen ist der SINN des Zertifikats eher fraglich... Am Ende macht die Einhaltung nämlich dein System eher unsicherer...
Wenn dein Zertifikat also den Unsinn vorschreibt - nun, dann würde ich mal sagen ist der SINN des Zertifikats eher fraglich... Am Ende macht die Einhaltung nämlich dein System eher unsicherer...
Isis12 ….ein externer Berater schreibt die Richtlinie und will genau das…also nix zu machen…
Allerdings wundert mich das auch …
Ich würde den externen Berater bitten zu zeigen wo das definiert ist... Ich mein - nix gegen externe Berater, man sieht ja u.A. bei der Bundeswehr das die immer wieder vertrauenswürdig sind wenn man die gleich zu hunderten ranzieht.... Und nie würden die eigene Interessen durchdrücken wollen...
1
Also raten macht hier wenig Sinn.
Entweder ist es ein Berater, dann solltet ihr euch nen anderen suchen, Berater beraten nur und legen nichts fest.
Oder es ist eine Zertifizierung dann benötigen wir hier zumindest nen Auszug aus dem genauen Wortlaut der Richtlinien.
Entweder ist es ein Berater, dann solltet ihr euch nen anderen suchen, Berater beraten nur und legen nichts fest.
Oder es ist eine Zertifizierung dann benötigen wir hier zumindest nen Auszug aus dem genauen Wortlaut der Richtlinien.
Hier der Wortlaut....
Beschränkung des Internetzugangs für administrative Accounts
Administrative Accounts haben grundsätzlich keinen Zugang zum Internet.
Unmissverständlich....
Beschränkung des Internetzugangs für administrative Accounts
Administrative Accounts haben grundsätzlich keinen Zugang zum Internet.
Unmissverständlich....
Hm dann stellt sich mir die Frage wie ein administrativer Account eine Recherche durchführen soll?
Eine solche Forderung, zeigt nur mehr auf, wie rückständig die Zertifizierungstellen in Wahrheit sind, wir sind im Jahre 2023 nicht 1713......
Geht er dann in eure Bibliothek mit einer Kerze dafür?
grüße
Eine solche Forderung, zeigt nur mehr auf, wie rückständig die Zertifizierungstellen in Wahrheit sind, wir sind im Jahre 2023 nicht 1713......
Geht er dann in eure Bibliothek mit einer Kerze dafür?
grüße
Zitat von @godlie:
Hm dann stellt sich mir die Frage wie ein administrativer Account eine Recherche durchführen soll?
Eine solche Forderung, zeigt nur mehr auf, wie rückständig die Zertifizierungstellen in Wahrheit sind, wir sind im Jahre 2023 nicht 1713......
Geht er dann in eure Bibliothek mit einer Kerze dafür?
grüße
Hm dann stellt sich mir die Frage wie ein administrativer Account eine Recherche durchführen soll?
Eine solche Forderung, zeigt nur mehr auf, wie rückständig die Zertifizierungstellen in Wahrheit sind, wir sind im Jahre 2023 nicht 1713......
Geht er dann in eure Bibliothek mit einer Kerze dafür?
grüße
Grundsätzlich muss man nicht mit Admin Rechten arbeiten. Dafür gibt es die UAC auf den Clients. Und Recherche auf dem Server gehört da eh nicht hin.
Meine Meinung.
VG
Zitat von @Tezzla:
Grundsätzlich muss man nicht mit Admin Rechten arbeiten. Dafür gibt es die UAC auf den Clients. Und Recherche auf dem Server gehört da eh nicht hin.
Meine Meinung.
VG
Zitat von @godlie:
Hm dann stellt sich mir die Frage wie ein administrativer Account eine Recherche durchführen soll?
Eine solche Forderung, zeigt nur mehr auf, wie rückständig die Zertifizierungstellen in Wahrheit sind, wir sind im Jahre 2023 nicht 1713......
Geht er dann in eure Bibliothek mit einer Kerze dafür?
grüße
Hm dann stellt sich mir die Frage wie ein administrativer Account eine Recherche durchführen soll?
Eine solche Forderung, zeigt nur mehr auf, wie rückständig die Zertifizierungstellen in Wahrheit sind, wir sind im Jahre 2023 nicht 1713......
Geht er dann in eure Bibliothek mit einer Kerze dafür?
grüße
Grundsätzlich muss man nicht mit Admin Rechten arbeiten. Dafür gibt es die UAC auf den Clients. Und Recherche auf dem Server gehört da eh nicht hin.
Meine Meinung.
VG
Administrative Accounts <-- sollten Accounts der Sekträterin, Buchhaltung, Assistenz der GF sein,
nicht ADMIN Accounts.
Sollten Admin Accounts damit gemeint sein, wäre es ja noch sinnloser, ein Admin soll keine Zugang zum Inet haben?
Die Österreichische Bahn wollte uns vor Jahren auch in so nen Schwachsinn reinboxen, wir haben denen dann erklärt, dass uns nicht mal Airbus oder Boing so etwas vorschreibt, dann gings auf einmal ....
grüße
grüße
D.h. Du arbeitest tagtäglich mit Adminrechten im Normalmodus, beim Surfen etc?
Würde ich zB nicht machen. Ist ein unnötiges Sicherheitsrisiko, egal wie fähig die Person vor dem Schirm ist.
Aber wie gesagt: Meine Meinung.
Würde ich zB nicht machen. Ist ein unnötiges Sicherheitsrisiko, egal wie fähig die Person vor dem Schirm ist.
Aber wie gesagt: Meine Meinung.
Ich denke, Fraky hat da sowas beschrieben.
https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sic ...
Und eben auch in den weiteren Teilen.
Und ja, mit administrativen Accounts dürften eher keine Admin-Accounts gemeint sein.
https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sic ...
Und eben auch in den weiteren Teilen.
Und ja, mit administrativen Accounts dürften eher keine Admin-Accounts gemeint sein.
Zitat von @Tezzla:
D.h. Du arbeitest tagtäglich mit Adminrechten im Normalmodus, beim Surfen etc?
Würde ich zB nicht machen. Ist ein unnötiges Sicherheitsrisiko, egal wie fähig die Person vor dem Schirm ist.
Aber wie gesagt: Meine Meinung.
D.h. Du arbeitest tagtäglich mit Adminrechten im Normalmodus, beim Surfen etc?
Würde ich zB nicht machen. Ist ein unnötiges Sicherheitsrisiko, egal wie fähig die Person vor dem Schirm ist.
Aber wie gesagt: Meine Meinung.
Interessante Interpretation, ich kann dich beruhigen, ich arbeite seit 13 Jahren nicht mehr mit Windows Systemen, auf einem Mac oder Linux System, brauch man selten root Rechte.
grüße
Natürlich nicht..jeder Admin hat zusätzlich einen Adminuser
@godlie
@Anulu1
Gruß,
Dani
Administrative Accounts <-- sollten Accounts der Sekträterin, Buchhaltung, Assistenz der GF sein, nicht ADMIN Accounts.
Sorry, aber solch eine Interpretation des Begriffs habe ich noch nie gelesen/gehört. Eigentlich sind deine Beispiele Funktionen/Rolle die eine Person ausführt. Daher wird dem persönlichen Account die Rechte und Programme zugewiesen, um die Funktion zu erfüllen. Ist die Person evtl. Key User so hat man in der Regel einen weiteren Account. Kommen dann noch Administrative Tätigkeiten dazu, gibt es nochmals einen Account.Sollten Admin Accounts damit gemeint sein, wäre es ja noch sinnloser, ein Admin soll keine Zugang zum Inet haben?
Tausche das Wort "soll" durch "darf". Dann sind wir einer Meinung.@Anulu1
Beschränkung des Internetzugangs für administrative Accounts
Administrative Accounts haben grundsätzlich keinen Zugang zum Internet.
Damit ist doch die Frage beantwortet, oder?Administrative Accounts haben grundsätzlich keinen Zugang zum Internet.
Gruß,
Dani
Nun - in dem Fall würde ich den Berater mal ins Haus holen und er/sie soll zeigen wie das geht. DAFÜR bekommen die ja eben Geld - grade wenn es wirklich um benutzerbasierten Internetzugang geht. Das SERVER ggf. nicht unbedingt überall ins Netz dürfen - keine Frage. Da ist es aber egal ob sich da der Admin oder der Hausmeister anmeldet... (man könnte höchstens fragen warum letzter das darf). Aber das du als normaler User da jeden sch... runterladen darfst und dann als Admin ausführen macht für mich einfach keinen Sinn. Da wird der Berater aber ja sicher ne Lösung für haben, schließlich wird der dafür ja bezahlt...
Habs jetzt nochmal direkt besprochen. Es wird abgeschwächt. Admins dürfen wenn notwendig. Es ist aber deren nicht administrativer Account vorzuziehen. An der konkreten Formulierung arbeiten wir noch aber sinngemäß wird es so akzeptiert. Trotzdem interessantes Thema weil ich mich dadurch mit dem Proxy beschäftigt habe.
Danke an alle😊
Danke an alle😊
Moin, und so macht das ja auch gleich mal Sinn! Denn das fürs Surfen im Internet ein Nicht-Admin Account vorzuziehen ist - gar keine Frage. Ich denke DA gibt es hier auch absolut keine zwei Meinungen. Mit dieser Formulierung ist aber eben der Download von Updates weiterhin möglich...
Das ganze zusammen mit ner guten Firewall die eben bei Servern ggf. sogar verbietet (unabhängig vom Benutzer) einfach mal fröhlich im Web zu surfen sondern eben nur die wirklich relevanten URLs erreichbar lässt und es ist schon ein recht guter Ansatz (aus meiner Sicht). Wenn der Admin dann noch nen bisserl überlegt bevor er/sie/es anklickt (nur weil in der Computerbild grad steht das die Software xyz ja soo super optimiert muss die ja nich gleich aufm Server) ist das ganze schon ziemlich gut
Das ganze zusammen mit ner guten Firewall die eben bei Servern ggf. sogar verbietet (unabhängig vom Benutzer) einfach mal fröhlich im Web zu surfen sondern eben nur die wirklich relevanten URLs erreichbar lässt und es ist schon ein recht guter Ansatz (aus meiner Sicht). Wenn der Admin dann noch nen bisserl überlegt bevor er/sie/es anklickt (nur weil in der Computerbild grad steht das die Software xyz ja soo super optimiert muss die ja nich gleich aufm Server) ist das ganze schon ziemlich gut