roddon
Goto Top

Vorschläge, um gefährlichen Windows7-Domänen-Benutzer SOFORT zu sperren, abzumelden und Zugriff zu verweigern?

Hallo Administratoren,

es wäre schön, wenn wir hier zusammen folgendes (theoretisches) Problem diskutieren könnten:

Angenommen, ich stelle fest, dass einem Domänen-Benutzer (Microsoftbetriebssysteme) plötzlich nicht mehr getraut werden kann (z.B. er hat im Bösen gekündigt oder er hat Mist gebaut oder sein Account wurde gehackt...) und er ist noch an seinem Rechner angemeldet.
Wie kann ich ihn möglichst schnell daran hindern, noch auf Daten zuzugreifen oder diese zu manipulieren?

  • Kann ich seine Usersession von zentraler Stelle sperren oder abmelden?
  • Kann ich den Datenzugriff verhindern, ohne jede ACL oder Gruppenmitgliedschaft manuell zu bearbeiten?
  • Wie siehts bei zwischengespeicherter Anmeldung (z.B. ohne Netzwerkanschluss) aus?

Habt ihr Strategien für diesen Fall?

Ich freue mich über jede Anregung.

vielen Dank - roddon.

Content-Key: 161421

Url: https://administrator.de/contentid/161421

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: linguin
linguin 23.02.2011 um 15:13:52 Uhr
Goto Top
Hi,

wie sieht das Server Umfeld aus.

Bei uns im großen ganzen

Linux (Hauptserver) mit DHCP Proxy Firewall und VMWare
Alles Windows Kisten laufen in VMWares. Auch die Domain Server.

ich habe für so einen Fall einen Script wo ich die IP Adresse des Users eintrage dieser sperrt ihn im Proxy und in der Firewall für alle zugriffe danach wird die Firewall neu gestartet und der User ist "Offline" (allso hat zwar noch IP Adresse aber darf nix mehr) für die Fernwartung nutzen wir DameWare und schalten uns dann direkt auf den Client PC wo bei dabei Maus und Tastatur dabei gesperrt werden. (Die Einzige Möglich keit den Zugriff los zu werden ist das Ziehen des Netzwerksteckers dann ist er aber auf jeden Fall offline)
Der Zugriff mit DeamWare deswegen da der User auch Lokal schon Dateien gespeichert haben kann. Also wenn er Kündigt weiß er das schon eher und hat die Daten die er braucht schon zu Hause. Wenn er unerwartet gekündigt wird dann kann er auch am Client nix mehr machen.

Kommt in solchen Fällen immer auf die Branche an in der ihr arbeitet bei uns sind es meist Autohäuser wo du bei Verkäufern schauen musst das sie nicht zuviele Kundendaten mitnehmen.

Vielleicht schilderst du mal einen Beispiel Fall mit Branche und was passieren könnte.

Gruß
Mitglied: mloipeldinger
mloipeldinger 23.02.2011 um 15:16:02 Uhr
Goto Top
Hallo,

wir würden den Benutzer im AD sperren, vpn Zertifikat zurückziehen und falls er im Terminalserver angemeldet ist Sitzung trennen. Im schlimmsten Fall könnte man ja auch noch den Port am Switch deaktivieren, dann kommt er sicher nicht mehr an die Domäne.

gruß

ml
Mitglied: tillixx07
tillixx07 23.02.2011 um 15:21:36 Uhr
Goto Top
Hi,

na ja, in dem Fall, dass es zeitlich so eng ist, würde ich auf jeden Fall zu dem Rechner hin gehen (oder jemanden schicken), um Schlimmeres zu verhindern. Jemand, dem Du so etwas zutraust, klaut ggf. gleich den Rechner - inklusive der zwischengespeicherten Profile oder kopiert diese auf ein USB Medium.

Sonst: "Sitzung schließen" in der Computerverwaltung\System\Freigegebene Ordner\Sitzungen


und es ist wirklich ein theoretisches Problem? Wie kommst Du denn auf so etwas?
Mitglied: Logan000
Logan000 23.02.2011 um 15:29:16 Uhr
Goto Top
Moin Moin

Konto im AD Sperren, Recher per shutdown.exe herunterfahren. Thema durch.
Wie siehts bei zwischengespeicherter Anmeldung (z.B. ohne Netzwerkanschluss) aus?
Lokale LW sind per GPO ausgeblendet. Unsere User sollen nur aufm Server speichern.
Ohne Netzanschluss kann er Solitare spielen. face-wink

Gruß L.
Mitglied: BekkZter
BekkZter 23.02.2011 um 15:29:36 Uhr
Goto Top
Ändere doch einfach sein Kennwort im AD und sperre den Account ... Wenn die Sitzung gesperrt ist kann er sich nicht mehr anmelden.
Wenn er sich via VPN einwählt bekommt er zwar noch die Verbindung in die Firma, aber keinen Zugriff da das PW
anders ist.
Mitglied: roddon
roddon 23.02.2011 um 15:33:54 Uhr
Goto Top
Hallo,


danke für eure Antworten und Anregungen.
Es geht in meinem Fall um eine Domäne mit Domänenfunktionslevel 2008 R2 und Windows 7 - Clients. Aber das ist hier wahrscheinlich nicht sehr relevant. Auch kann das Problem durchaus in vielen Branchen existieren. Mir ist ein Fall bekannt, wo es besser gewesen wäre schnell reagiert gehabt zu haben und dem würde ich gerne in den von mir betreuten Domänen vorbeugen.

Ich denke, ich werde eine Realisierung wie vorgeschlagen über ein Skript versuchen, was alle Möglicheiten des entsprechenden Benutzers einschränkt.

Falls noch jemand andere Vorschläge hat - immer her damit.
Mitglied: linguin
linguin 23.02.2011 um 15:57:53 Uhr
Goto Top
Hallo,

es kann und wird immer und über alle passieren. Ein User der weiß er geht bald warum auch immer oder einer der das schon durchhat wird die sachen die er brauch lokal speichern und auf usb stick cd / dvd oder sonstwas mitnehmen eine "schädigung" druch löschen von irgendwas wird er nicht wollen oder machen wenn er mal wieder nen job will und keinen schadenersatz zahlen will.
Mitglied: SlainteMhath
SlainteMhath 23.02.2011 um 17:16:07 Uhr
Goto Top
Moin,

Konto im AD Sperren, Recher per shutdown.exe herunterfahren. Thema durch.
und den Sicherheitsdienst anrufen, der begleitet ihn/sie dann nach drausen face-smile

lg,
Slainte