5
Remotedesktop Logging
Moin Zusammen,
mal wieder was zum leidigen Thema DSGVO...
Bei uns war heute der Datenschützer im Haus und hat folgende Anforderung gestellt (Die die GL natürlich sofort haben will):
"Wenn man sich per Remotedesktop beim User anmeldet (z.B. bei den gehosteten Terminalservern), dann muss geloggt werden, welcher User die Verbindung aufgebaut hat. Da fast immer ein service-Account genutzt wird, ist das nicht granular genug. Es muss direkt ersichtlich sein, welcher Techniker die Verbindung aufgebaut hat"
Habt Ihr dafür eine Lösung? Bei Teamviewer funktioniert das genau so...würde mich aber jetzt ungern auf ein externes Produkt verlassen müssen.
Gibt es eine Art Remotegateway, bei dem ich mich mit meinem User anmelde und dann von da per RDP rausgehe? Oder eine Art Proxy, der meine Verbindung loggt?
Danke und Gruß,
V
mal wieder was zum leidigen Thema DSGVO...
Bei uns war heute der Datenschützer im Haus und hat folgende Anforderung gestellt (Die die GL natürlich sofort haben will):
"Wenn man sich per Remotedesktop beim User anmeldet (z.B. bei den gehosteten Terminalservern), dann muss geloggt werden, welcher User die Verbindung aufgebaut hat. Da fast immer ein service-Account genutzt wird, ist das nicht granular genug. Es muss direkt ersichtlich sein, welcher Techniker die Verbindung aufgebaut hat"
Habt Ihr dafür eine Lösung? Bei Teamviewer funktioniert das genau so...würde mich aber jetzt ungern auf ein externes Produkt verlassen müssen.
Gibt es eine Art Remotegateway, bei dem ich mich mit meinem User anmelde und dann von da per RDP rausgehe? Oder eine Art Proxy, der meine Verbindung loggt?
Danke und Gruß,
V
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 366612
Url: https://administrator.de/contentid/366612
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
5 Kommentare
Neuester Kommentar
Guten Abend,
ich habe den Beitrag heute Nachmittag, heute Abend und eben nochmals gelesen. Leider kann ich dir immer noch nicht folgen. Kannst du evtl. deine Ausgangslage nochmals anders beschreiben, damit ich es endlich verstehe?
Gruß,
Dani
ich habe den Beitrag heute Nachmittag, heute Abend und eben nochmals gelesen. Leider kann ich dir immer noch nicht folgen. Kannst du evtl. deine Ausgangslage nochmals anders beschreiben, damit ich es endlich verstehe?
Gruß,
Dani
Moin, es wird doch auf der Zielmaschine bereits (so es ein Win-Server ist) geloggt welcher User sich von welcher Maschine angemeldet hat. Damit hast du doch schon die Infos - oder habt ihr geteilte PCs?
Moin,
ich bin auch bei @maretz. Zusätzlich müssen dann noch die Sammelaccounts aufgelöst und ein benannter User Accounts pro Person angelegt werden - Fertig.
Oder du machst das per Gateway - da gibt's mWn aber nur Lösungen die was kosten - SecretServer von Thycotic kann das u.A.
lg,
Slainte
ich bin auch bei @maretz. Zusätzlich müssen dann noch die Sammelaccounts aufgelöst und ein benannter User Accounts pro Person angelegt werden - Fertig.
Oder du machst das per Gateway - da gibt's mWn aber nur Lösungen die was kosten - SecretServer von Thycotic kann das u.A.
lg,
Slainte
Hallo Voiper,
wenn die Maschinen der User im AD sind,
1. Gruppe aller Techniker erstellen und diese in die lokale Gruppe der Administratoren einfügen.
2. für diese gruppe RDP Zugriff erlauben.
3. jetzt kannst du genau den Techniker loggen der sich mit dem User PC verbunden hat.
grüße vom it-frosch
wenn die Maschinen der User im AD sind,
1. Gruppe aller Techniker erstellen und diese in die lokale Gruppe der Administratoren einfügen.
2. für diese gruppe RDP Zugriff erlauben.
3. jetzt kannst du genau den Techniker loggen der sich mit dem User PC verbunden hat.
grüße vom it-frosch
Zitat von @Dani:
Guten Abend,
ich habe den Beitrag heute Nachmittag, heute Abend und eben nochmals gelesen. Leider kann ich dir immer noch nicht folgen. Kannst du evtl. deine Ausgangslage nochmals anders beschreiben, damit ich es endlich verstehe?
Gruß,
Dani
Guten Abend,
ich habe den Beitrag heute Nachmittag, heute Abend und eben nochmals gelesen. Leider kann ich dir immer noch nicht folgen. Kannst du evtl. deine Ausgangslage nochmals anders beschreiben, damit ich es endlich verstehe?
Gruß,
Dani
Gerne. Wir sind Dienstleister und haben ein eigenes kleines RZ. Dadurch kommen wir von unserem Netz aus einfach per RDP auf die Server der Kunden. Da wir mit unseren Firmenaccounts aber nicht auf den einzelnen AD's der Kunden sind, gibt es meist nur einen Service-Account für RDP. Dadurch wird aber nicht genau protokolliert, wer von uns genau per RDP auf dem Server war, da auch unsere Rechner nicht im AD der Kunden zu finden sind.
Wir möchten nun, dass aufgeschlüsselt werden kann, wer von uns sich per RDP des Service-Accounts bedient hat und das möglichst wann und wie lange. Das sollte aber nicht auf den Rechnern der Techniker passieren, sondern möglichst auf den Kundenservern oder auf einem zentralen Gateway, auf dem wir uns vorher mit eindeutigen Accounts anmelden und das unsere Wartungs-Sessions protokolliert (Login, Dauer, LogOff).
Zitat von @maretz:
Moin, es wird doch auf der Zielmaschine bereits (so es ein Win-Server ist) geloggt welcher User sich von welcher Maschine angemeldet hat. Damit hast du doch schon die Infos - oder habt ihr geteilte PCs?
Moin, es wird doch auf der Zielmaschine bereits (so es ein Win-Server ist) geloggt welcher User sich von welcher Maschine angemeldet hat. Damit hast du doch schon die Infos - oder habt ihr geteilte PCs?
Wichtig wäre tatsächlich der Username ;)
Zitat von @SlainteMhath:
Moin,
ich bin auch bei @maretz. Zusätzlich müssen dann noch die Sammelaccounts aufgelöst und ein benannter User Accounts pro Person angelegt werden - Fertig.
Oder du machst das per Gateway - da gibt's mWn aber nur Lösungen die was kosten - SecretServer von Thycotic kann das u.A.
lg,
Slainte
Moin,
ich bin auch bei @maretz. Zusätzlich müssen dann noch die Sammelaccounts aufgelöst und ein benannter User Accounts pro Person angelegt werden - Fertig.
Oder du machst das per Gateway - da gibt's mWn aber nur Lösungen die was kosten - SecretServer von Thycotic kann das u.A.
lg,
Slainte
Kosten sollen hier kein Problem darstellen. Die Sammelaccounts sollen eben nicht aufgelöst werden.
Zitat von @it-frosch:
Hallo Voiper,
wenn die Maschinen der User im AD sind,
1. Gruppe aller Techniker erstellen und diese in die lokale Gruppe der Administratoren einfügen.
2. für diese gruppe RDP Zugriff erlauben.
3. jetzt kannst du genau den Techniker loggen der sich mit dem User PC verbunden hat.
grüße vom it-frosch
Hallo Voiper,
wenn die Maschinen der User im AD sind,
1. Gruppe aller Techniker erstellen und diese in die lokale Gruppe der Administratoren einfügen.
2. für diese gruppe RDP Zugriff erlauben.
3. jetzt kannst du genau den Techniker loggen der sich mit dem User PC verbunden hat.
grüße vom it-frosch
Maschinen sind nicht im AD, da wir nur Dienstleister mit quasi "Fremdrechnern" sind.
