Sicherheit Administrationskonten

Mitglied: Philipp711

Philipp711 (Level 2) - Jetzt verbinden

20.10.2017, aktualisiert 09:02 Uhr, 1148 Aufrufe, 5 Kommentare, 1 Danke

Hallo Leute,

seit einigen Tagen schaue ich über unsere Infrastruktur und versuche mögliche Konfigurationsfehler im Bezug auf möglich Sicherheitslücken ausfindig zu machen und dementsprechend zu beseitigen. Dabei bin ich jetzt bei den Administrationskonten angekommen.

In unserer Infrastruktur gibt drei Admin-Accounts: den Standard "Build-In"-Administrator mit allen rechten (Org.-Admin, Schema-Admin, Dom-Admin etc.), mein Benutzerkonto sowie das meines Kollegen (beide "nur" Dom-Admin). Diese drei Konten sind prinzipbedingt besonders kritisch einzustufen. Die Konten von mir und von meinem Kollegen unterliegen im vergleich zu den normalen Benutzerkonten besonderen Passwortrichtlinien - (Änderung nach X Tagen, Kontosperrung nach X Versuchen, mind. X Zeichen inkl. Komplexitätsanforderung - alles ristriktiver wie bei den "Normalos").

Nicht alle Passwortrichtlinien greifen automatisch auch für den Build-In-Administrator (z.b. Kontosperrung nach X Versuchen). Daher möchte ich ein eigenes PSO-Objekt mit relativ ristriktiven Richtlinien erstellen. Mir schwebt sowas wie 16 Stellen + Komplexität, Kontosperrung nach 3 Versuchen und alle 120Tage wechsel des PW vor - ich denke das ist ersteinmal ein guter Ansatz.

Für die täglich Arbeit würde das nach meinen Vorstellungen allerdings folgendes bedeuten: Bisher wurde sich für jegliche Arbeiten an Serversystem (z.b. über RDP oder auch lokal) immer mit genau diesem Built-In-Administrator angemeldet.

Aufgrund der "Wichtigkeit" dieses Kontos würde ich gerne auf die Verwendung komplett verzichten. Gibt es etwas dagegen auszusetzen Wartungsarbeiten, Installationen und Konfigurationen auf den Serversystemen mit den persönlichen Accounts auszuführen?

Dankeschön!

P.S.: Bei Dirttanbietersoftware oder Systemen authentifizieren wir uns schon gegen das AD mit unseren persönlichen Accounts um dort Administrative Tätigkeiten druchzuführen (zumindest da wo eine LDAP-Schnittstelle vorhanden ist)...da klappts ja auch....
Mitglied: emeriks
20.10.2017, aktualisiert um 09:20 Uhr
Bitte warten ..
Mitglied: Yaimael
LÖSUNG 20.10.2017 um 09:25 Uhr
Hallo @Philip711,

ich persönlich habe die Erfahrung aus anderen Firmen wie folgt gemacht:
Build-In Admin ist deaktiviert. Ein neues Administratives Konto ist angelegt worden mit einem entsprechend schwer zu erratenden Benutzernamen (nein nicht root :) face-smile ) und einen PW mit hoher Komplexität. Dieser Account wird nur für Notfälle verwendet. PW wird auf Papier in einem versiegelten Umschlag in einem Tresor verwart (Worst-Case).

Administratoren haben einen normalen Benutzer mit eingeschränkten Rechten.
Für administrative Aufgaben haben Sie einen weiteren Benutzer mit Dom.-Admin und allen weiteren benötigten Rechten.
Die PW Haltbarkeit und länge hat sich hier leicht unterschieden. 8/10 Zeichen Minimum mit hoher Komplexität und einem maximalen alter von 90 Tagen sind so das "normale" für die Administrativen User hatten wir meist 12 Zeichen oder mehr mit 30-60 Tagen Haltbarkeit und der Verweigerung der letzten 4-12 PW.
Je nachdem wie gut Ihr euch schützen wollt ist die Frage wie groß muss die Sicherheit sein und wie hoch die Usability.

Grüße
Yai
Bitte warten ..
Mitglied: GuentherH
LÖSUNG 20.10.2017 um 09:37 Uhr
mein Benutzerkonto sowie das meines Kollegen (beide "nur" Dom-Admin).

Was hilft das koplexeste Passwort, wenn du dir einen Verschlüsselungstrojaner einfängst? Dann hat der Trojaner auf jedenfall Domänenadmin Rechte!

Das Benutzerkonto der Admins ist ein Standard Benutzerkonto. Für die administrativen Arbeiten erden jeweils eigene Adminkonten angelegt und mit diesen wird nur am Server gearbeitet.

LG Günther
Bitte warten ..
Mitglied: Dani
LÖSUNG 20.10.2017 um 21:12 Uhr
Gutebn Abend,
der Schritt in die richtige Richtung ist meiner Meinung nach PAW. Das Konzept von heute auf morgen umzusetzen geht nach hinten los. Im Vorfeld sind einige organisatorische Themen zu überlegen bzw. entscheiden. Technische Umsetzung ist meist der angenehmere Teil.

Gibt es etwas dagegen auszusetzen Wartungsarbeiten, Installationen und Konfigurationen auf den Serversystemen mit den persönlichen Accounts auszuführen?
Nein. Es sollte aber einen Rollen-Trennung stattfinden. Sprich einen Accounts für das tägliche Doing als Mitarbeiter. Der weitere Accounts für die administrative Tätigkeiten. Wichtig dabei ist ein


Gruß,
Dani
Bitte warten ..
Mitglied: Philipp711
24.10.2017 um 09:29 Uhr
Vielen Dank für die Antworten!
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkprotokolle
DHCP-Server vom ausgeschalteten PC?
pow3rlock3Vor 16 StundenFrageNetzwerkprotokolle46 Kommentare

Guten Tag in die Runde, kurz zu mir: IT-Administrator und seit über 20 Jahren im PC-Bereich unterwegs. habe zu Hause jetzt ein Problem: grober ...

Server
Argumente für Serverumstellung
Stivi1989Vor 1 TagFrageServer15 Kommentare

Hallo zusammen, ich benötige einmal unterstützung eine Serverumstellung zu begründen. Problem ist wie folgt: Ein Unternehmen setzt aktuell noch einen SBS2011 ein. Da dieses ...

Server-Hardware
Intel(R) 82576 Gigabit-Netzwerkarte macht nur 10MBit
fdk007Vor 1 TagFrageServer-Hardware18 Kommentare

Hallo Leute, das Problem bleibt, (s. Bild): Egal welcher Treiber…die Intel Karten machen 10 Mbit. Egal was ich einstelle. Die 3. Netzwerkarte des Cisco ...

Microsoft
Software zur Archivierung von Rechnungen
gelöst MazenauerVor 1 TagFrageMicrosoft12 Kommentare

Guten Tag zusammen Leider habe ich keine passende Rubrik gefunden, deshalb probiere ich es hier. Als ich letzthin die ersten bezahlten Rechnungen des Jahres ...

LAN, WAN, Wireless
Fritzbox mit Switch verbinden und Vlan einrichten
Forrest57Vor 14 StundenFrageLAN, WAN, Wireless35 Kommentare

Hallo zusammen. Möchte meine Geräte über VLAN trennen. Anhand der Zeichung sieht man wie das Netz aufgebaut sein soll es ist ein 24 Port ...

Windows Server
Änderung des Standard-Browsers Server 2019
EmptymanVor 1 TagFrageWindows Server3 Kommentare

Hallo liebe Gemeinde. Ich schlage mich mit einem kleinen Problem rum, dessen Lösung ich aber leider nicht auf die Schliche komme. Auf meiner Terminalserver-Umgebung, ...

Netzwerkmanagement
TIA568A oder B - Leistungsunterschiede oder egal?
gelöst alboshiroVor 12 StundenFrageNetzwerkmanagement15 Kommentare

Hallo Zusammen, ich bin aktuell im Hausbau und habe in jedem Zimmer ein RJ45 CAT7 Ethernetkabel für jeden Raum verlegt. Jetzt müsste ich die ...

Firewall
PfSense direkt an Glasfasermodem der Telekom über PPPoE
gelöst snah0815Vor 8 StundenFrageFirewall22 Kommentare

Hallo Zusammen, nachdem ich die pfSense nun eine Zeit lang in einer Kaskade mit einer Fritzbox 7590 betrieben habe, möchte ich nun gerne die ...