Profil-Konto-Credentials eines Domänen Administrators auf Clients löschen
Hallo Zusammen,
hintergrund meiner Frage ist, dass ich in unserem Betrieb gängige Sicherheitsstandards einführen möchte.
Einer der Schritte betrifft die Verwendung von Domänen-Admin-Konten zur tägl. Administration. Als ich eingestellt wurde, habe ich meinen persönlichen Domänenadministrator Account erhalten und diesen seither für alle möglichen Aufgaben verwendet. ->Lokal angemeldet, Programme installiert etc. Noch treffen meine Vorschläge auf Wiederstand der anderen Admins, aber ich möchte zumindest meine persönliche Arbeitsweise anpassen.
Ich würde dann zur Administration nur noch ein Lokales Admin Konto verwenden? und für Domänengeschichten (Netzwerkdrucker hinzufügen, Domänen-Benutzer anlegen, GPOs verwalten) meine Rechte einschränken.
Gibt es eine Möglichkeit mein Profil (Credentials) von allen Clients zu löschen, ohne das ich mich an jedem Gerät persönlich anmelden muss?
Für Tipps wäre ich wirklich dankbar, da ich sonst niemanden habe den ich Fragen könnte.
hintergrund meiner Frage ist, dass ich in unserem Betrieb gängige Sicherheitsstandards einführen möchte.
Einer der Schritte betrifft die Verwendung von Domänen-Admin-Konten zur tägl. Administration. Als ich eingestellt wurde, habe ich meinen persönlichen Domänenadministrator Account erhalten und diesen seither für alle möglichen Aufgaben verwendet. ->Lokal angemeldet, Programme installiert etc. Noch treffen meine Vorschläge auf Wiederstand der anderen Admins, aber ich möchte zumindest meine persönliche Arbeitsweise anpassen.
Ich würde dann zur Administration nur noch ein Lokales Admin Konto verwenden? und für Domänengeschichten (Netzwerkdrucker hinzufügen, Domänen-Benutzer anlegen, GPOs verwalten) meine Rechte einschränken.
Gibt es eine Möglichkeit mein Profil (Credentials) von allen Clients zu löschen, ohne das ich mich an jedem Gerät persönlich anmelden muss?
Für Tipps wäre ich wirklich dankbar, da ich sonst niemanden habe den ich Fragen könnte.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 74053282755
Url: https://administrator.de/forum/profil-konto-credentials-eines-domaenen-administrators-auf-clients-loeschen-74053282755.html
Ausgedruckt am: 22.12.2024 um 03:12 Uhr
9 Kommentare
Neuester Kommentar
Hi,
die Idee mit unterschiedlichen Benutzern für die Administration ist gut.
Was willst du mit Credentials löschen erreichen? Wenn du das Passwort deines Domänenadmin-Accounts änderst, kann mit den Credentials im Cache der Clients keiner mehr was anfangen, wenn sich die Kisten regelmäßig am DC melden.
Alternativ kannst du dir einen oder mehrere neue ADM Accounts anlegen und den alten komplett deaktivieren und aus den Admingruppen entfernen. Dann kann man auch lokal damit nichts mehr anfangen.
Gruß
Drohnald
die Idee mit unterschiedlichen Benutzern für die Administration ist gut.
Was willst du mit Credentials löschen erreichen? Wenn du das Passwort deines Domänenadmin-Accounts änderst, kann mit den Credentials im Cache der Clients keiner mehr was anfangen, wenn sich die Kisten regelmäßig am DC melden.
Alternativ kannst du dir einen oder mehrere neue ADM Accounts anlegen und den alten komplett deaktivieren und aus den Admingruppen entfernen. Dann kann man auch lokal damit nichts mehr anfangen.
Gruß
Drohnald
Angenommen ich deaktiviere/lösche meinen bisherigen Admin Zugang. Das Profil bleibt ja weiter auf den Rechnern. Wenn ein Angreifer die Verbindung zur Domäne temporär trennt (z.B. Netzwerkverbindung für 5 Minuten unterbrechen), könnte er dann nicht das immer noch hinterlegte Profil verwenden um lokal erhöhte Rechte zu erlangen oder wird mit der Deaktivierung des Accounts im AD auch die weitere verwendung am Client komplett verhindert?
Richtig, das spielt in deinem Fall aber eine eher geringe Rolle denn es gibt nur 2 Möglichkeiten:
1. Der Computer hat Verbindung zum DC -> Dann ist es egal ob du das Profil löscht, deaktivierst oder PW änderst
2. Der Computer hat keine Verbindung zum DC -> Dann kannst du höchstens mit deinem alten Admin drauf, einen neuen lokalen anlegen, die mich diesem neuen anmelden und dann das alte Adminprofil löschen.
Moin.
Es scheint dringend nötig, dass Ihr einiges ändert. Ich würde damit beginnen, die Trägheit zu hinterfragen: Warum kommt erst jetzt diese Initiative, wo schon seit vielen Jahren klar geworden ist, wie gerne Angreifer diese fahrlässig eingesetzten Domänenadminkonten nutzen.
Aus der Antwort darauf könnte folgen, dass es einigen Admins nicht reell erscheint bzw. dass einige keine Bereitschaft haben, Komfort gegen Sicherheit einzutauschen. Wenn man sich auf eine einheitliche Linie einigen könnte, wäre man ein gutes Stück weiter, denn wenn deine Bemühungen nur bei dir fruchten, ist nicht viel gewonnen.
Wenn Du dir ein AD Tiering in der Praxis ansehen willst, nimm diesen Leitfaden: https://www.experts-exchange.com/articles/29515/Active-Directory-Simple- ...
Wenn Du etwas wie LAPS einführen willst, frage Dich zunächst, ob für deine Arbeiten lokale Admins reichen. Mit meinem Ansatz, der schon verlinkt wurde, hättest Du lokale Admins, die aber auch Domänenressourcen nutzen können. Ich finde LAPS unpraktisch.
Für das Löschen der Credentials: wie schon gesagt: sobald Du das Kennwort änderst, kann der gecachte Logon im Netzwerk nichts mehr reißen. Natürlich ist er bei Offline-Anmeldung noch lokaler Admin, aber wie sollte ein Nichtadmin diesen Logon überhaupt ausführen? Er müsste das Kennwort per Angriff auf den Hash rausfinden und das ist ohne lokale Adminrechte gar nicht möglich.
Es scheint dringend nötig, dass Ihr einiges ändert. Ich würde damit beginnen, die Trägheit zu hinterfragen: Warum kommt erst jetzt diese Initiative, wo schon seit vielen Jahren klar geworden ist, wie gerne Angreifer diese fahrlässig eingesetzten Domänenadminkonten nutzen.
Aus der Antwort darauf könnte folgen, dass es einigen Admins nicht reell erscheint bzw. dass einige keine Bereitschaft haben, Komfort gegen Sicherheit einzutauschen. Wenn man sich auf eine einheitliche Linie einigen könnte, wäre man ein gutes Stück weiter, denn wenn deine Bemühungen nur bei dir fruchten, ist nicht viel gewonnen.
Wenn Du dir ein AD Tiering in der Praxis ansehen willst, nimm diesen Leitfaden: https://www.experts-exchange.com/articles/29515/Active-Directory-Simple- ...
Wenn Du etwas wie LAPS einführen willst, frage Dich zunächst, ob für deine Arbeiten lokale Admins reichen. Mit meinem Ansatz, der schon verlinkt wurde, hättest Du lokale Admins, die aber auch Domänenressourcen nutzen können. Ich finde LAPS unpraktisch.
Für das Löschen der Credentials: wie schon gesagt: sobald Du das Kennwort änderst, kann der gecachte Logon im Netzwerk nichts mehr reißen. Natürlich ist er bei Offline-Anmeldung noch lokaler Admin, aber wie sollte ein Nichtadmin diesen Logon überhaupt ausführen? Er müsste das Kennwort per Angriff auf den Hash rausfinden und das ist ohne lokale Adminrechte gar nicht möglich.
Hi.
Zum Tiering: mir reicht die Trennung Clientadmin - ServerAdmin - DCadmin. Im jeweiligen Tier dann nur ein Adminkonto zu haben, halte ich für unbedacht und würde pro Client und pro Memberserver mindestens einen Admin einrichten. Nur auf den DCs nehme ich einen Admin, der (da logischerweise Domänenadmin) auf allen DCs Admin ist.
Die Admins können auf den Maschinen alles.
Zum Thema LAPS, das habe ich einfach als Empfehlung gelsen und angenommen, dass dieses vorgehen der Standard sei.
Microsoft hat LAPS vorgeschlagen und für einige Admins reicht das vollkommen. Will man aber bei der Clientadministration auf Domänenressourcen rauf (und das ist ja gängig), reicht das alleine nicht und man baut neue Krücken. Deshalb bevorzuge ich meinen eigenen Ansatz.Zum Tiering: mir reicht die Trennung Clientadmin - ServerAdmin - DCadmin. Im jeweiligen Tier dann nur ein Adminkonto zu haben, halte ich für unbedacht und würde pro Client und pro Memberserver mindestens einen Admin einrichten. Nur auf den DCs nehme ich einen Admin, der (da logischerweise Domänenadmin) auf allen DCs Admin ist.
Die Admins können auf den Maschinen alles.