Sicherheit Administrationskonten
Hallo Leute,
seit einigen Tagen schaue ich über unsere Infrastruktur und versuche mögliche Konfigurationsfehler im Bezug auf möglich Sicherheitslücken ausfindig zu machen und dementsprechend zu beseitigen. Dabei bin ich jetzt bei den Administrationskonten angekommen.
In unserer Infrastruktur gibt drei Admin-Accounts: den Standard "Build-In"-Administrator mit allen rechten (Org.-Admin, Schema-Admin, Dom-Admin etc.), mein Benutzerkonto sowie das meines Kollegen (beide "nur" Dom-Admin). Diese drei Konten sind prinzipbedingt besonders kritisch einzustufen. Die Konten von mir und von meinem Kollegen unterliegen im vergleich zu den normalen Benutzerkonten besonderen Passwortrichtlinien - (Änderung nach X Tagen, Kontosperrung nach X Versuchen, mind. X Zeichen inkl. Komplexitätsanforderung - alles ristriktiver wie bei den "Normalos").
Nicht alle Passwortrichtlinien greifen automatisch auch für den Build-In-Administrator (z.b. Kontosperrung nach X Versuchen). Daher möchte ich ein eigenes PSO-Objekt mit relativ ristriktiven Richtlinien erstellen. Mir schwebt sowas wie 16 Stellen + Komplexität, Kontosperrung nach 3 Versuchen und alle 120Tage wechsel des PW vor - ich denke das ist ersteinmal ein guter Ansatz.
Für die täglich Arbeit würde das nach meinen Vorstellungen allerdings folgendes bedeuten: Bisher wurde sich für jegliche Arbeiten an Serversystem (z.b. über RDP oder auch lokal) immer mit genau diesem Built-In-Administrator angemeldet.
Aufgrund der "Wichtigkeit" dieses Kontos würde ich gerne auf die Verwendung komplett verzichten. Gibt es etwas dagegen auszusetzen Wartungsarbeiten, Installationen und Konfigurationen auf den Serversystemen mit den persönlichen Accounts auszuführen?
Dankeschön!
P.S.: Bei Dirttanbietersoftware oder Systemen authentifizieren wir uns schon gegen das AD mit unseren persönlichen Accounts um dort Administrative Tätigkeiten druchzuführen (zumindest da wo eine LDAP-Schnittstelle vorhanden ist)...da klappts ja auch....
seit einigen Tagen schaue ich über unsere Infrastruktur und versuche mögliche Konfigurationsfehler im Bezug auf möglich Sicherheitslücken ausfindig zu machen und dementsprechend zu beseitigen. Dabei bin ich jetzt bei den Administrationskonten angekommen.
In unserer Infrastruktur gibt drei Admin-Accounts: den Standard "Build-In"-Administrator mit allen rechten (Org.-Admin, Schema-Admin, Dom-Admin etc.), mein Benutzerkonto sowie das meines Kollegen (beide "nur" Dom-Admin). Diese drei Konten sind prinzipbedingt besonders kritisch einzustufen. Die Konten von mir und von meinem Kollegen unterliegen im vergleich zu den normalen Benutzerkonten besonderen Passwortrichtlinien - (Änderung nach X Tagen, Kontosperrung nach X Versuchen, mind. X Zeichen inkl. Komplexitätsanforderung - alles ristriktiver wie bei den "Normalos").
Nicht alle Passwortrichtlinien greifen automatisch auch für den Build-In-Administrator (z.b. Kontosperrung nach X Versuchen). Daher möchte ich ein eigenes PSO-Objekt mit relativ ristriktiven Richtlinien erstellen. Mir schwebt sowas wie 16 Stellen + Komplexität, Kontosperrung nach 3 Versuchen und alle 120Tage wechsel des PW vor - ich denke das ist ersteinmal ein guter Ansatz.
Für die täglich Arbeit würde das nach meinen Vorstellungen allerdings folgendes bedeuten: Bisher wurde sich für jegliche Arbeiten an Serversystem (z.b. über RDP oder auch lokal) immer mit genau diesem Built-In-Administrator angemeldet.
Aufgrund der "Wichtigkeit" dieses Kontos würde ich gerne auf die Verwendung komplett verzichten. Gibt es etwas dagegen auszusetzen Wartungsarbeiten, Installationen und Konfigurationen auf den Serversystemen mit den persönlichen Accounts auszuführen?
Dankeschön!
P.S.: Bei Dirttanbietersoftware oder Systemen authentifizieren wir uns schon gegen das AD mit unseren persönlichen Accounts um dort Administrative Tätigkeiten druchzuführen (zumindest da wo eine LDAP-Schnittstelle vorhanden ist)...da klappts ja auch....
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 352340
Url: https://administrator.de/forum/sicherheit-administrationskonten-352340.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
5 Kommentare
Neuester Kommentar
Hallo @philip711,
ich persönlich habe die Erfahrung aus anderen Firmen wie folgt gemacht:
Build-In Admin ist deaktiviert. Ein neues Administratives Konto ist angelegt worden mit einem entsprechend schwer zu erratenden Benutzernamen (nein nicht root ) und einen PW mit hoher Komplexität. Dieser Account wird nur für Notfälle verwendet. PW wird auf Papier in einem versiegelten Umschlag in einem Tresor verwart (Worst-Case).
Administratoren haben einen normalen Benutzer mit eingeschränkten Rechten.
Für administrative Aufgaben haben Sie einen weiteren Benutzer mit Dom.-Admin und allen weiteren benötigten Rechten.
Die PW Haltbarkeit und länge hat sich hier leicht unterschieden. 8/10 Zeichen Minimum mit hoher Komplexität und einem maximalen alter von 90 Tagen sind so das "normale" für die Administrativen User hatten wir meist 12 Zeichen oder mehr mit 30-60 Tagen Haltbarkeit und der Verweigerung der letzten 4-12 PW.
Je nachdem wie gut Ihr euch schützen wollt ist die Frage wie groß muss die Sicherheit sein und wie hoch die Usability.
Grüße
Yai
ich persönlich habe die Erfahrung aus anderen Firmen wie folgt gemacht:
Build-In Admin ist deaktiviert. Ein neues Administratives Konto ist angelegt worden mit einem entsprechend schwer zu erratenden Benutzernamen (nein nicht root ) und einen PW mit hoher Komplexität. Dieser Account wird nur für Notfälle verwendet. PW wird auf Papier in einem versiegelten Umschlag in einem Tresor verwart (Worst-Case).
Administratoren haben einen normalen Benutzer mit eingeschränkten Rechten.
Für administrative Aufgaben haben Sie einen weiteren Benutzer mit Dom.-Admin und allen weiteren benötigten Rechten.
Die PW Haltbarkeit und länge hat sich hier leicht unterschieden. 8/10 Zeichen Minimum mit hoher Komplexität und einem maximalen alter von 90 Tagen sind so das "normale" für die Administrativen User hatten wir meist 12 Zeichen oder mehr mit 30-60 Tagen Haltbarkeit und der Verweigerung der letzten 4-12 PW.
Je nachdem wie gut Ihr euch schützen wollt ist die Frage wie groß muss die Sicherheit sein und wie hoch die Usability.
Grüße
Yai
mein Benutzerkonto sowie das meines Kollegen (beide "nur" Dom-Admin).
Was hilft das koplexeste Passwort, wenn du dir einen Verschlüsselungstrojaner einfängst? Dann hat der Trojaner auf jedenfall Domänenadmin Rechte!
Das Benutzerkonto der Admins ist ein Standard Benutzerkonto. Für die administrativen Arbeiten erden jeweils eigene Adminkonten angelegt und mit diesen wird nur am Server gearbeitet.
LG Günther
Gutebn Abend,
der Schritt in die richtige Richtung ist meiner Meinung nach PAW. Das Konzept von heute auf morgen umzusetzen geht nach hinten los. Im Vorfeld sind einige organisatorische Themen zu überlegen bzw. entscheiden. Technische Umsetzung ist meist der angenehmere Teil.
Gruß,
Dani
der Schritt in die richtige Richtung ist meiner Meinung nach PAW. Das Konzept von heute auf morgen umzusetzen geht nach hinten los. Im Vorfeld sind einige organisatorische Themen zu überlegen bzw. entscheiden. Technische Umsetzung ist meist der angenehmere Teil.
Gibt es etwas dagegen auszusetzen Wartungsarbeiten, Installationen und Konfigurationen auf den Serversystemen mit den persönlichen Accounts auszuführen?
Nein. Es sollte aber einen Rollen-Trennung stattfinden. Sprich einen Accounts für das tägliche Doing als Mitarbeiter. Der weitere Accounts für die administrative Tätigkeiten. Wichtig dabei ist einGruß,
Dani