Vorschläge, um gefährlichen Windows7-Domänen-Benutzer SOFORT zu sperren, abzumelden und Zugriff zu verweigern?

Hallo Administratoren,

es wäre schön, wenn wir hier zusammen folgendes (theoretisches) Problem diskutieren könnten:

Angenommen, ich stelle fest, dass einem Domänen-Benutzer (Microsoftbetriebssysteme) plötzlich nicht mehr getraut werden kann (z.B. er hat im Bösen gekündigt oder er hat Mist gebaut oder sein Account wurde gehackt...) und er ist noch an seinem Rechner angemeldet.
Wie kann ich ihn möglichst schnell daran hindern, noch auf Daten zuzugreifen oder diese zu manipulieren?

  • Kann ich seine Usersession von zentraler Stelle sperren oder abmelden?
  • Kann ich den Datenzugriff verhindern, ohne jede ACL oder Gruppenmitgliedschaft manuell zu bearbeiten?
  • Wie siehts bei zwischengespeicherter Anmeldung (z.B. ohne Netzwerkanschluss) aus?

Habt ihr Strategien für diesen Fall?

Ich freue mich über jede Anregung.

vielen Dank - roddon.

Content-Key: 161421

Url: https://administrator.de/contentid/161421

Ausgedruckt am: 16.10.2021 um 20:10 Uhr

Mitglied: linguin
linguin 23.02.2011 um 15:13:52 Uhr
Goto Top
Hi,

wie sieht das Server Umfeld aus.

Bei uns im großen ganzen

Linux (Hauptserver) mit DHCP Proxy Firewall und VMWare
Alles Windows Kisten laufen in VMWares. Auch die Domain Server.

ich habe für so einen Fall einen Script wo ich die IP Adresse des Users eintrage dieser sperrt ihn im Proxy und in der Firewall für alle zugriffe danach wird die Firewall neu gestartet und der User ist "Offline" (allso hat zwar noch IP Adresse aber darf nix mehr) für die Fernwartung nutzen wir DameWare und schalten uns dann direkt auf den Client PC wo bei dabei Maus und Tastatur dabei gesperrt werden. (Die Einzige Möglich keit den Zugriff los zu werden ist das Ziehen des Netzwerksteckers dann ist er aber auf jeden Fall offline)
Der Zugriff mit DeamWare deswegen da der User auch Lokal schon Dateien gespeichert haben kann. Also wenn er Kündigt weiß er das schon eher und hat die Daten die er braucht schon zu Hause. Wenn er unerwartet gekündigt wird dann kann er auch am Client nix mehr machen.

Kommt in solchen Fällen immer auf die Branche an in der ihr arbeitet bei uns sind es meist Autohäuser wo du bei Verkäufern schauen musst das sie nicht zuviele Kundendaten mitnehmen.

Vielleicht schilderst du mal einen Beispiel Fall mit Branche und was passieren könnte.

Gruß
Mitglied: mloipeldinger
mloipeldinger 23.02.2011 um 15:16:02 Uhr
Goto Top
Hallo,

wir würden den Benutzer im AD sperren, vpn Zertifikat zurückziehen und falls er im Terminalserver angemeldet ist Sitzung trennen. Im schlimmsten Fall könnte man ja auch noch den Port am Switch deaktivieren, dann kommt er sicher nicht mehr an die Domäne.

gruß

ml
Mitglied: tillixx07
tillixx07 23.02.2011 um 15:21:36 Uhr
Goto Top
Hi,

na ja, in dem Fall, dass es zeitlich so eng ist, würde ich auf jeden Fall zu dem Rechner hin gehen (oder jemanden schicken), um Schlimmeres zu verhindern. Jemand, dem Du so etwas zutraust, klaut ggf. gleich den Rechner - inklusive der zwischengespeicherten Profile oder kopiert diese auf ein USB Medium.

Sonst: "Sitzung schließen" in der Computerverwaltung\System\Freigegebene Ordner\Sitzungen


und es ist wirklich ein theoretisches Problem? Wie kommst Du denn auf so etwas?
Mitglied: Logan000
Logan000 23.02.2011 um 15:29:16 Uhr
Goto Top
Moin Moin

Konto im AD Sperren, Recher per shutdown.exe herunterfahren. Thema durch.
Wie siehts bei zwischengespeicherter Anmeldung (z.B. ohne Netzwerkanschluss) aus?
Lokale LW sind per GPO ausgeblendet. Unsere User sollen nur aufm Server speichern.
Ohne Netzanschluss kann er Solitare spielen. ;-) face-wink

Gruß L.
Mitglied: BekkZter
BekkZter 23.02.2011 um 15:29:36 Uhr
Goto Top
Ändere doch einfach sein Kennwort im AD und sperre den Account ... Wenn die Sitzung gesperrt ist kann er sich nicht mehr anmelden.
Wenn er sich via VPN einwählt bekommt er zwar noch die Verbindung in die Firma, aber keinen Zugriff da das PW
anders ist.
Mitglied: roddon
roddon 23.02.2011 um 15:33:54 Uhr
Goto Top
Hallo,


danke für eure Antworten und Anregungen.
Es geht in meinem Fall um eine Domäne mit Domänenfunktionslevel 2008 R2 und Windows 7 - Clients. Aber das ist hier wahrscheinlich nicht sehr relevant. Auch kann das Problem durchaus in vielen Branchen existieren. Mir ist ein Fall bekannt, wo es besser gewesen wäre schnell reagiert gehabt zu haben und dem würde ich gerne in den von mir betreuten Domänen vorbeugen.

Ich denke, ich werde eine Realisierung wie vorgeschlagen über ein Skript versuchen, was alle Möglicheiten des entsprechenden Benutzers einschränkt.

Falls noch jemand andere Vorschläge hat - immer her damit.
Mitglied: linguin
linguin 23.02.2011 um 15:57:53 Uhr
Goto Top
Hallo,

es kann und wird immer und über alle passieren. Ein User der weiß er geht bald warum auch immer oder einer der das schon durchhat wird die sachen die er brauch lokal speichern und auf usb stick cd / dvd oder sonstwas mitnehmen eine "schädigung" druch löschen von irgendwas wird er nicht wollen oder machen wenn er mal wieder nen job will und keinen schadenersatz zahlen will.
Mitglied: SlainteMhath
SlainteMhath 23.02.2011 um 17:16:07 Uhr
Goto Top
Moin,

Konto im AD Sperren, Recher per shutdown.exe herunterfahren. Thema durch.
und den Sicherheitsdienst anrufen, der begleitet ihn/sie dann nach drausen :) face-smile

lg,
Slainte
Heiß diskutierte Beiträge
question
Achtung VMware, Inc. - SCSIAdapter - 1.3.18.0 virtuelle Server starten nicht mehrBl0ckS1z3Vor 1 TagFrageWindows Server5 Kommentare

Hallo Admins, ich habe heute über das VMware, Inc. - SCSIAdapter - 1.3.18.0 Treiberupdate aus den Windows Updates auf einem virtuellen Server Windows 2012 R2 ...

question
WIN 10 pro for workstations - Was genau ist das?toddehbVor 1 TagFrageWindows 1017 Kommentare

Hi, bin das erste mal über einen PC mit Win 10 Pro for workstations gestolpert und frage mich, was an dieser Edition anders ist, als ...

report
Ist FSLogix das Gelbe vom Ei?dertowaVor 1 TagErfahrungsberichtWindows Userverwaltung9 Kommentare

Hallo allerseits, ich habe mich die letzten Tage eingehend mit FSLogix in meinem Lab befasst und bin noch ein wenig zweigeteilter Meinung. Aktuell produktiv im ...

question
Hotel - Gast WLAN - Hotspot Aufbau und Sicherheit-Haftungaif-getVor 1 TagFrageLAN, WAN, Wireless12 Kommentare

Hallo zusammen, ich würde gerne bei einem Bekannten, der ein kleines Hotel (30 Zimmer - 3 Unify APs) besitzt ein Gäste WLAN aufsetzen, möglichst mit ...

question
VOIP BasisstationWolf6660Vor 1 TagFragePeripheriegeräte18 Kommentare

Hi, ich will meine FritzBox gegen einen MikroTik RB4011iGS+5HacQ2HnD-IN austauschen. Nun benötige ich aber einen VOIP Basisstation. Natürlich könnte ich meine 7590 dazu benutzten aber ...

question
Portbasierten vLans als Ersatz von unabhängigen Switches gelöst cheechybaVor 1 TagFrageNetzwerkmanagement10 Kommentare

Guten Tag liebe Community, im Anhang habe ich eine einfach Skizze angefügt um folgende Idee zu diskutieren und um Hilfe bei der Umsetzung zu bitten. ...

question
CAD Mobil in rauer Umgebunggansa28Vor 1 TagFrageHardware4 Kommentare

Hallo zusammen, Zu meinem Problem: Mein Schwieger Vater bekommt in seinem Metall Produzierenden Gewerbe zwei neue CAD Arbeitsplätze die eine recht hohe Hardware Anforderung haben, ...

general
Automatische Dokumentation von Vorgängen mit Kamerapassy951Vor 1 TagAllgemeinSonstige Systeme6 Kommentare

Hallo zusammen, ich wende mich mal an euch, da ich nicht weiß wie ich das lösen soll bzw. ob es sowas überhaupt zu kaufen gibt. ...