8
Vorschläge, um gefährlichen Windows7-Domänen-Benutzer SOFORT zu sperren, abzumelden und Zugriff zu verweigern?
Hallo Administratoren,
es wäre schön, wenn wir hier zusammen folgendes (theoretisches) Problem diskutieren könnten:
Angenommen, ich stelle fest, dass einem Domänen-Benutzer (Microsoftbetriebssysteme) plötzlich nicht mehr getraut werden kann (z.B. er hat im Bösen gekündigt oder er hat Mist gebaut oder sein Account wurde gehackt...) und er ist noch an seinem Rechner angemeldet.
Wie kann ich ihn möglichst schnell daran hindern, noch auf Daten zuzugreifen oder diese zu manipulieren?
Habt ihr Strategien für diesen Fall?
Ich freue mich über jede Anregung.
vielen Dank - roddon.
es wäre schön, wenn wir hier zusammen folgendes (theoretisches) Problem diskutieren könnten:
Angenommen, ich stelle fest, dass einem Domänen-Benutzer (Microsoftbetriebssysteme) plötzlich nicht mehr getraut werden kann (z.B. er hat im Bösen gekündigt oder er hat Mist gebaut oder sein Account wurde gehackt...) und er ist noch an seinem Rechner angemeldet.
Wie kann ich ihn möglichst schnell daran hindern, noch auf Daten zuzugreifen oder diese zu manipulieren?
- Kann ich seine Usersession von zentraler Stelle sperren oder abmelden?
- Kann ich den Datenzugriff verhindern, ohne jede ACL oder Gruppenmitgliedschaft manuell zu bearbeiten?
- Wie siehts bei zwischengespeicherter Anmeldung (z.B. ohne Netzwerkanschluss) aus?
Habt ihr Strategien für diesen Fall?
Ich freue mich über jede Anregung.
vielen Dank - roddon.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 161421
Url: https://administrator.de/contentid/161421
Ausgedruckt am: 25.11.2024 um 05:11 Uhr
8 Kommentare
Neuester Kommentar
Hi,
wie sieht das Server Umfeld aus.
Bei uns im großen ganzen
Linux (Hauptserver) mit DHCP Proxy Firewall und VMWare
Alles Windows Kisten laufen in VMWares. Auch die Domain Server.
ich habe für so einen Fall einen Script wo ich die IP Adresse des Users eintrage dieser sperrt ihn im Proxy und in der Firewall für alle zugriffe danach wird die Firewall neu gestartet und der User ist "Offline" (allso hat zwar noch IP Adresse aber darf nix mehr) für die Fernwartung nutzen wir DameWare und schalten uns dann direkt auf den Client PC wo bei dabei Maus und Tastatur dabei gesperrt werden. (Die Einzige Möglich keit den Zugriff los zu werden ist das Ziehen des Netzwerksteckers dann ist er aber auf jeden Fall offline)
Der Zugriff mit DeamWare deswegen da der User auch Lokal schon Dateien gespeichert haben kann. Also wenn er Kündigt weiß er das schon eher und hat die Daten die er braucht schon zu Hause. Wenn er unerwartet gekündigt wird dann kann er auch am Client nix mehr machen.
Kommt in solchen Fällen immer auf die Branche an in der ihr arbeitet bei uns sind es meist Autohäuser wo du bei Verkäufern schauen musst das sie nicht zuviele Kundendaten mitnehmen.
Vielleicht schilderst du mal einen Beispiel Fall mit Branche und was passieren könnte.
Gruß
wie sieht das Server Umfeld aus.
Bei uns im großen ganzen
Linux (Hauptserver) mit DHCP Proxy Firewall und VMWare
Alles Windows Kisten laufen in VMWares. Auch die Domain Server.
ich habe für so einen Fall einen Script wo ich die IP Adresse des Users eintrage dieser sperrt ihn im Proxy und in der Firewall für alle zugriffe danach wird die Firewall neu gestartet und der User ist "Offline" (allso hat zwar noch IP Adresse aber darf nix mehr) für die Fernwartung nutzen wir DameWare und schalten uns dann direkt auf den Client PC wo bei dabei Maus und Tastatur dabei gesperrt werden. (Die Einzige Möglich keit den Zugriff los zu werden ist das Ziehen des Netzwerksteckers dann ist er aber auf jeden Fall offline)
Der Zugriff mit DeamWare deswegen da der User auch Lokal schon Dateien gespeichert haben kann. Also wenn er Kündigt weiß er das schon eher und hat die Daten die er braucht schon zu Hause. Wenn er unerwartet gekündigt wird dann kann er auch am Client nix mehr machen.
Kommt in solchen Fällen immer auf die Branche an in der ihr arbeitet bei uns sind es meist Autohäuser wo du bei Verkäufern schauen musst das sie nicht zuviele Kundendaten mitnehmen.
Vielleicht schilderst du mal einen Beispiel Fall mit Branche und was passieren könnte.
Gruß
Hallo,
wir würden den Benutzer im AD sperren, vpn Zertifikat zurückziehen und falls er im Terminalserver angemeldet ist Sitzung trennen. Im schlimmsten Fall könnte man ja auch noch den Port am Switch deaktivieren, dann kommt er sicher nicht mehr an die Domäne.
gruß
ml
wir würden den Benutzer im AD sperren, vpn Zertifikat zurückziehen und falls er im Terminalserver angemeldet ist Sitzung trennen. Im schlimmsten Fall könnte man ja auch noch den Port am Switch deaktivieren, dann kommt er sicher nicht mehr an die Domäne.
gruß
ml
Hi,
na ja, in dem Fall, dass es zeitlich so eng ist, würde ich auf jeden Fall zu dem Rechner hin gehen (oder jemanden schicken), um Schlimmeres zu verhindern. Jemand, dem Du so etwas zutraust, klaut ggf. gleich den Rechner - inklusive der zwischengespeicherten Profile oder kopiert diese auf ein USB Medium.
Sonst: "Sitzung schließen" in der Computerverwaltung\System\Freigegebene Ordner\Sitzungen
und es ist wirklich ein theoretisches Problem? Wie kommst Du denn auf so etwas?
na ja, in dem Fall, dass es zeitlich so eng ist, würde ich auf jeden Fall zu dem Rechner hin gehen (oder jemanden schicken), um Schlimmeres zu verhindern. Jemand, dem Du so etwas zutraust, klaut ggf. gleich den Rechner - inklusive der zwischengespeicherten Profile oder kopiert diese auf ein USB Medium.
Sonst: "Sitzung schließen" in der Computerverwaltung\System\Freigegebene Ordner\Sitzungen
und es ist wirklich ein theoretisches Problem? Wie kommst Du denn auf so etwas?
Moin Moin
Konto im AD Sperren, Recher per shutdown.exe herunterfahren. Thema durch.
Ohne Netzanschluss kann er Solitare spielen.
Gruß L.
Konto im AD Sperren, Recher per shutdown.exe herunterfahren. Thema durch.
Wie siehts bei zwischengespeicherter Anmeldung (z.B. ohne Netzwerkanschluss) aus?
Lokale LW sind per GPO ausgeblendet. Unsere User sollen nur aufm Server speichern.Ohne Netzanschluss kann er Solitare spielen.
Gruß L.
Ändere doch einfach sein Kennwort im AD und sperre den Account ... Wenn die Sitzung gesperrt ist kann er sich nicht mehr anmelden.
Wenn er sich via VPN einwählt bekommt er zwar noch die Verbindung in die Firma, aber keinen Zugriff da das PW
anders ist.
Wenn er sich via VPN einwählt bekommt er zwar noch die Verbindung in die Firma, aber keinen Zugriff da das PW
anders ist.
Hallo,
danke für eure Antworten und Anregungen.
Es geht in meinem Fall um eine Domäne mit Domänenfunktionslevel 2008 R2 und Windows 7 - Clients. Aber das ist hier wahrscheinlich nicht sehr relevant. Auch kann das Problem durchaus in vielen Branchen existieren. Mir ist ein Fall bekannt, wo es besser gewesen wäre schnell reagiert gehabt zu haben und dem würde ich gerne in den von mir betreuten Domänen vorbeugen.
Ich denke, ich werde eine Realisierung wie vorgeschlagen über ein Skript versuchen, was alle Möglicheiten des entsprechenden Benutzers einschränkt.
Falls noch jemand andere Vorschläge hat - immer her damit.
danke für eure Antworten und Anregungen.
Es geht in meinem Fall um eine Domäne mit Domänenfunktionslevel 2008 R2 und Windows 7 - Clients. Aber das ist hier wahrscheinlich nicht sehr relevant. Auch kann das Problem durchaus in vielen Branchen existieren. Mir ist ein Fall bekannt, wo es besser gewesen wäre schnell reagiert gehabt zu haben und dem würde ich gerne in den von mir betreuten Domänen vorbeugen.
Ich denke, ich werde eine Realisierung wie vorgeschlagen über ein Skript versuchen, was alle Möglicheiten des entsprechenden Benutzers einschränkt.
Falls noch jemand andere Vorschläge hat - immer her damit.
Hallo,
es kann und wird immer und über alle passieren. Ein User der weiß er geht bald warum auch immer oder einer der das schon durchhat wird die sachen die er brauch lokal speichern und auf usb stick cd / dvd oder sonstwas mitnehmen eine "schädigung" druch löschen von irgendwas wird er nicht wollen oder machen wenn er mal wieder nen job will und keinen schadenersatz zahlen will.
es kann und wird immer und über alle passieren. Ein User der weiß er geht bald warum auch immer oder einer der das schon durchhat wird die sachen die er brauch lokal speichern und auf usb stick cd / dvd oder sonstwas mitnehmen eine "schädigung" druch löschen von irgendwas wird er nicht wollen oder machen wenn er mal wieder nen job will und keinen schadenersatz zahlen will.
Moin,
lg,
Slainte
Konto im AD Sperren, Recher per shutdown.exe herunterfahren. Thema durch.
und den Sicherheitsdienst anrufen, der begleitet ihn/sie dann nach drausen lg,
Slainte
