Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Sicherheit Administrationskonten

Mitglied: Philipp711

Philipp711 (Level 2) - Jetzt verbinden

20.10.2017, aktualisiert 09:02 Uhr, 958 Aufrufe, 5 Kommentare, 1 Danke

Hallo Leute,

seit einigen Tagen schaue ich über unsere Infrastruktur und versuche mögliche Konfigurationsfehler im Bezug auf möglich Sicherheitslücken ausfindig zu machen und dementsprechend zu beseitigen. Dabei bin ich jetzt bei den Administrationskonten angekommen.

In unserer Infrastruktur gibt drei Admin-Accounts: den Standard "Build-In"-Administrator mit allen rechten (Org.-Admin, Schema-Admin, Dom-Admin etc.), mein Benutzerkonto sowie das meines Kollegen (beide "nur" Dom-Admin). Diese drei Konten sind prinzipbedingt besonders kritisch einzustufen. Die Konten von mir und von meinem Kollegen unterliegen im vergleich zu den normalen Benutzerkonten besonderen Passwortrichtlinien - (Änderung nach X Tagen, Kontosperrung nach X Versuchen, mind. X Zeichen inkl. Komplexitätsanforderung - alles ristriktiver wie bei den "Normalos").

Nicht alle Passwortrichtlinien greifen automatisch auch für den Build-In-Administrator (z.b. Kontosperrung nach X Versuchen). Daher möchte ich ein eigenes PSO-Objekt mit relativ ristriktiven Richtlinien erstellen. Mir schwebt sowas wie 16 Stellen + Komplexität, Kontosperrung nach 3 Versuchen und alle 120Tage wechsel des PW vor - ich denke das ist ersteinmal ein guter Ansatz.

Für die täglich Arbeit würde das nach meinen Vorstellungen allerdings folgendes bedeuten: Bisher wurde sich für jegliche Arbeiten an Serversystem (z.b. über RDP oder auch lokal) immer mit genau diesem Built-In-Administrator angemeldet.

Aufgrund der "Wichtigkeit" dieses Kontos würde ich gerne auf die Verwendung komplett verzichten. Gibt es etwas dagegen auszusetzen Wartungsarbeiten, Installationen und Konfigurationen auf den Serversystemen mit den persönlichen Accounts auszuführen?

Dankeschön!

P.S.: Bei Dirttanbietersoftware oder Systemen authentifizieren wir uns schon gegen das AD mit unseren persönlichen Accounts um dort Administrative Tätigkeiten druchzuführen (zumindest da wo eine LDAP-Schnittstelle vorhanden ist)...da klappts ja auch....

Mitglied: emeriks
20.10.2017, aktualisiert um 09:20 Uhr
Bitte warten ..
Mitglied: Yaimael
LÖSUNG 20.10.2017 um 09:25 Uhr
Hallo @Philip711,

ich persönlich habe die Erfahrung aus anderen Firmen wie folgt gemacht:
Build-In Admin ist deaktiviert. Ein neues Administratives Konto ist angelegt worden mit einem entsprechend schwer zu erratenden Benutzernamen (nein nicht root ) und einen PW mit hoher Komplexität. Dieser Account wird nur für Notfälle verwendet. PW wird auf Papier in einem versiegelten Umschlag in einem Tresor verwart (Worst-Case).

Administratoren haben einen normalen Benutzer mit eingeschränkten Rechten.
Für administrative Aufgaben haben Sie einen weiteren Benutzer mit Dom.-Admin und allen weiteren benötigten Rechten.
Die PW Haltbarkeit und länge hat sich hier leicht unterschieden. 8/10 Zeichen Minimum mit hoher Komplexität und einem maximalen alter von 90 Tagen sind so das "normale" für die Administrativen User hatten wir meist 12 Zeichen oder mehr mit 30-60 Tagen Haltbarkeit und der Verweigerung der letzten 4-12 PW.
Je nachdem wie gut Ihr euch schützen wollt ist die Frage wie groß muss die Sicherheit sein und wie hoch die Usability.

Grüße
Yai
Bitte warten ..
Mitglied: GuentherH
LÖSUNG 20.10.2017 um 09:37 Uhr
mein Benutzerkonto sowie das meines Kollegen (beide "nur" Dom-Admin).

Was hilft das koplexeste Passwort, wenn du dir einen Verschlüsselungstrojaner einfängst? Dann hat der Trojaner auf jedenfall Domänenadmin Rechte!

Das Benutzerkonto der Admins ist ein Standard Benutzerkonto. Für die administrativen Arbeiten erden jeweils eigene Adminkonten angelegt und mit diesen wird nur am Server gearbeitet.

LG Günther
Bitte warten ..
Mitglied: Dani
LÖSUNG 20.10.2017 um 21:12 Uhr
Gutebn Abend,
der Schritt in die richtige Richtung ist meiner Meinung nach PAW. Das Konzept von heute auf morgen umzusetzen geht nach hinten los. Im Vorfeld sind einige organisatorische Themen zu überlegen bzw. entscheiden. Technische Umsetzung ist meist der angenehmere Teil.

Gibt es etwas dagegen auszusetzen Wartungsarbeiten, Installationen und Konfigurationen auf den Serversystemen mit den persönlichen Accounts auszuführen?
Nein. Es sollte aber einen Rollen-Trennung stattfinden. Sprich einen Accounts für das tägliche Doing als Mitarbeiter. Der weitere Accounts für die administrative Tätigkeiten. Wichtig dabei ist ein


Gruß,
Dani
Bitte warten ..
Mitglied: Philipp711
24.10.2017 um 09:29 Uhr
Vielen Dank für die Antworten!
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen
Sicherheit Netzwerksegmentierung
Frage von Morpheus112Sicherheitsgrundlagen11 Kommentare

Hallo Leute, ich habe mal eine kurze Frage, wie sicher ist Netzwerksegmentierung wirklich? Ich meine wenn man annimmt, man ...

Tipps & Tricks
IT-Sicherheit
gelöst Frage von RaucherbeinTipps & Tricks13 Kommentare

Hi Leute. Ich bin seit geraumer Zeit im Netz auf der Suche nach brauchbaren Inhalten zum Thema IT-Sicherheit. Ich ...

Cloud-Dienste
Sicherheit von Clouds
Frage von fisch56Cloud-Dienste16 Kommentare

Hallo, habe jetzt tausend Artikel durchgelesen bin aber nicht schlauer. wenn ich z.B. google drive oder google photos nutze, ...

Utilities
Telefonkonferenzen - Tools - Sicherheit
Frage von rjenuweinUtilities2 Kommentare

Hallo zusammen, ich habe eine Anfrage aus dem Unternehmen in Sachen Telefonkonferenzen. Man möchte das Tool Freeconfernececalls nutzen. Frage: ...

Neue Wissensbeiträge
Datenschutz
Datenschutzproblem?
Information von Penny.Cilin vor 1 TagDatenschutz5 Kommentare

Hallo, gerade im Heise Newsticker gefunden: Frage: Warum wurden die Akten nicht ordnungsgemäß gesichert bzw. aufbewahrt? Patientenakten sind 30 ...

Windows Netzwerk

SCOM ( System Center Operations Manager ) um eine E-Mailschnittstelle erweitern

Anleitung von Juanito vor 2 TagenWindows Netzwerk

Einleitung System Center Operations Manager (SCOM) ist Microsoft's Lösung zum Überwachen von Servern. Dazu zählt die generelle Erreichbarkeit, Festplattenspeicher, ...

Humor (lol)
BioShield gegen 5G
Information von magicteddy vor 3 TagenHumor (lol)3 Kommentare

Moin wer sich gegen die hochgefährlichen 5G schützen möchte wird hier fündig: 5GBioShield "gegen 5G-Strahlung" Ich glaube, ich sollte ...

Windows Server

ScheduledTasks mit einem Group-Managed-Service-Account (GMSA) ausführen

Anleitung von ToniHo vor 3 TagenWindows Server

Hallo zusammen, wer schonmal versucht hat ein Group-Managed-Service-Account (GMSA) auf einem bestehenden ScheduledTask einzutragen, ist an der GUI vermutlich ...

Heiß diskutierte Inhalte
Microsoft
Zugriffsprobleme Festplatte
Frage von MiMa89Microsoft43 Kommentare

Hallo Zusammen, ich hoffe Ihr könnt mir bei folgendem Problem helfen. Ich habe eine externe Festplatte die nicht mehr ...

Microsoft
100 Prozent CPU Last gleich Volllast, Pustekuchen, nicht bei Microsoft!!! VOL 2
Frage von MysticFoxDEMicrosoft33 Kommentare

Liebe Freunde der Präzision und der Norm, ich möchte in diesem Beitrag konstruktiv an den folgenden Vorgängerbeitrag anschliessen, der ...

SAN, NAS, DAS
Entscheidungshilfe Storage für Netzwerkupgrade
Frage von m-jelinskiSAN, NAS, DAS15 Kommentare

Hallo zusammen, unsere Server und Storage-Systeme sind nun 6 Jahre alt und überfällig ausgetauscht zu werden. Daher haben wir ...

LAN, WAN, Wireless
WLAN für Haus Erweitern,5GHz
Frage von JackredLAN, WAN, Wireless10 Kommentare

Hallo Liebe Leute ich möchte gern in unserem Haus das Wlan am besten überall verfügbar machen. Das heißt zur ...