Vorschläge, um gefährlichen Windows7-Domänen-Benutzer SOFORT zu sperren, abzumelden und Zugriff zu verweigern?

Hallo Administratoren,

es wäre schön, wenn wir hier zusammen folgendes (theoretisches) Problem diskutieren könnten:

Angenommen, ich stelle fest, dass einem Domänen-Benutzer (Microsoftbetriebssysteme) plötzlich nicht mehr getraut werden kann (z.B. er hat im Bösen gekündigt oder er hat Mist gebaut oder sein Account wurde gehackt...) und er ist noch an seinem Rechner angemeldet.
Wie kann ich ihn möglichst schnell daran hindern, noch auf Daten zuzugreifen oder diese zu manipulieren?

  • Kann ich seine Usersession von zentraler Stelle sperren oder abmelden?
  • Kann ich den Datenzugriff verhindern, ohne jede ACL oder Gruppenmitgliedschaft manuell zu bearbeiten?
  • Wie siehts bei zwischengespeicherter Anmeldung (z.B. ohne Netzwerkanschluss) aus?

Habt ihr Strategien für diesen Fall?

Ich freue mich über jede Anregung.

vielen Dank - roddon.

Content-Key: 161421

Url: https://administrator.de/contentid/161421

Ausgedruckt am: 18.09.2021 um 12:09 Uhr

Mitglied: linguin
linguin 23.02.2011 um 15:13:52 Uhr
Goto Top
Hi,

wie sieht das Server Umfeld aus.

Bei uns im großen ganzen

Linux (Hauptserver) mit DHCP Proxy Firewall und VMWare
Alles Windows Kisten laufen in VMWares. Auch die Domain Server.

ich habe für so einen Fall einen Script wo ich die IP Adresse des Users eintrage dieser sperrt ihn im Proxy und in der Firewall für alle zugriffe danach wird die Firewall neu gestartet und der User ist "Offline" (allso hat zwar noch IP Adresse aber darf nix mehr) für die Fernwartung nutzen wir DameWare und schalten uns dann direkt auf den Client PC wo bei dabei Maus und Tastatur dabei gesperrt werden. (Die Einzige Möglich keit den Zugriff los zu werden ist das Ziehen des Netzwerksteckers dann ist er aber auf jeden Fall offline)
Der Zugriff mit DeamWare deswegen da der User auch Lokal schon Dateien gespeichert haben kann. Also wenn er Kündigt weiß er das schon eher und hat die Daten die er braucht schon zu Hause. Wenn er unerwartet gekündigt wird dann kann er auch am Client nix mehr machen.

Kommt in solchen Fällen immer auf die Branche an in der ihr arbeitet bei uns sind es meist Autohäuser wo du bei Verkäufern schauen musst das sie nicht zuviele Kundendaten mitnehmen.

Vielleicht schilderst du mal einen Beispiel Fall mit Branche und was passieren könnte.

Gruß
Mitglied: mloipeldinger
mloipeldinger 23.02.2011 um 15:16:02 Uhr
Goto Top
Hallo,

wir würden den Benutzer im AD sperren, vpn Zertifikat zurückziehen und falls er im Terminalserver angemeldet ist Sitzung trennen. Im schlimmsten Fall könnte man ja auch noch den Port am Switch deaktivieren, dann kommt er sicher nicht mehr an die Domäne.

gruß

ml
Mitglied: tillixx07
tillixx07 23.02.2011 um 15:21:36 Uhr
Goto Top
Hi,

na ja, in dem Fall, dass es zeitlich so eng ist, würde ich auf jeden Fall zu dem Rechner hin gehen (oder jemanden schicken), um Schlimmeres zu verhindern. Jemand, dem Du so etwas zutraust, klaut ggf. gleich den Rechner - inklusive der zwischengespeicherten Profile oder kopiert diese auf ein USB Medium.

Sonst: "Sitzung schließen" in der Computerverwaltung\System\Freigegebene Ordner\Sitzungen


und es ist wirklich ein theoretisches Problem? Wie kommst Du denn auf so etwas?
Mitglied: Logan000
Logan000 23.02.2011 um 15:29:16 Uhr
Goto Top
Moin Moin

Konto im AD Sperren, Recher per shutdown.exe herunterfahren. Thema durch.
Wie siehts bei zwischengespeicherter Anmeldung (z.B. ohne Netzwerkanschluss) aus?
Lokale LW sind per GPO ausgeblendet. Unsere User sollen nur aufm Server speichern.
Ohne Netzanschluss kann er Solitare spielen. ;-) face-wink

Gruß L.
Mitglied: BekkZter
BekkZter 23.02.2011 um 15:29:36 Uhr
Goto Top
Ändere doch einfach sein Kennwort im AD und sperre den Account ... Wenn die Sitzung gesperrt ist kann er sich nicht mehr anmelden.
Wenn er sich via VPN einwählt bekommt er zwar noch die Verbindung in die Firma, aber keinen Zugriff da das PW
anders ist.
Mitglied: roddon
roddon 23.02.2011 um 15:33:54 Uhr
Goto Top
Hallo,


danke für eure Antworten und Anregungen.
Es geht in meinem Fall um eine Domäne mit Domänenfunktionslevel 2008 R2 und Windows 7 - Clients. Aber das ist hier wahrscheinlich nicht sehr relevant. Auch kann das Problem durchaus in vielen Branchen existieren. Mir ist ein Fall bekannt, wo es besser gewesen wäre schnell reagiert gehabt zu haben und dem würde ich gerne in den von mir betreuten Domänen vorbeugen.

Ich denke, ich werde eine Realisierung wie vorgeschlagen über ein Skript versuchen, was alle Möglicheiten des entsprechenden Benutzers einschränkt.

Falls noch jemand andere Vorschläge hat - immer her damit.
Mitglied: linguin
linguin 23.02.2011 um 15:57:53 Uhr
Goto Top
Hallo,

es kann und wird immer und über alle passieren. Ein User der weiß er geht bald warum auch immer oder einer der das schon durchhat wird die sachen die er brauch lokal speichern und auf usb stick cd / dvd oder sonstwas mitnehmen eine "schädigung" druch löschen von irgendwas wird er nicht wollen oder machen wenn er mal wieder nen job will und keinen schadenersatz zahlen will.
Mitglied: SlainteMhath
SlainteMhath 23.02.2011 um 17:16:07 Uhr
Goto Top
Moin,

Konto im AD Sperren, Recher per shutdown.exe herunterfahren. Thema durch.
und den Sicherheitsdienst anrufen, der begleitet ihn/sie dann nach drausen :) face-smile

lg,
Slainte
Heiß diskutierte Beiträge
question
Netzwerkperformance - Mikrotik - Wo ist mein Fehler? gelöst BirdyBVor 1 TagFrageNetzwerke39 Kommentare

Moin zusammen, ich stehe gerade etwas auf dem Schlauch und weiß nicht so recht was mein Fehler ist. Gegeben ist mein heimisches Netzwerk: Also eigentlich ...

info
Hunderttausende MikroTik-Router sind seit 2018 angreifbarkilltecVor 1 TagInformationMikroTik RouterOS24 Kommentare

Mehrere MikroTik Router angreifbar. Hier der Link zu Heise: Hunderttausende MikroTik-Router sind seit 2018 angreifbar Gruß ...

question
Neue Firmennetzwerkstruktur und ein glühender KopfDerWachnerVor 1 TagFrageNetzwerke28 Kommentare

Moin zusammen, nun hab ich jahrelang hier nur mitgelesen, nun stehe ich allerdings selbst vor nem Problem was mir seit Tagen Kopfschmerzen bereitet. Also wir ...

general
Neue Herausforderungen auf unserer englischen SeiteFrankVor 1 TagAllgemeinOff Topic14 Kommentare

Auf unserer englischen Seite gibt es neue Herausforderungen: Find who restarted DB server und Wanted: Network Node Manager 6.4 wer kann helfen? Generell findet ihr ...

question
Windows Server 2012 R2 frisst SSDs (cbs.log)drahtbrueckeVor 1 TagFrageWindows Server14 Kommentare

Hallo, ich habe vor etwa 2 Monaten eine nur etwa 3 Monate alte SSD gegen eine neue getauscht (Samsung OEM Datacenter SSD SM883) in einem ...

question
RDS CALs und normale CALs - Wie richtig lizensierentim.riepVor 1 TagFrageWindows Server19 Kommentare

Hallo liebe User, ich habe eine Frage zur richtigen Lizensierung: Wenn eine natürliche Person zum Beispiel drei Accounts auf einem Windows Server 2016 hat, braucht ...

question
2 Netzwerkkarten für 2 verschieden Netze auf einem Windows-ServerglasscolaVor 17 StundenFrageWindows Server6 Kommentare

Hallo zusammen, im Rahmen meiner Bachelorthesis baue ich ein Labor auf, das folgend aussieht. Ich habe einen Server und auf ihm laufen 2 VMs (1 ...

info
Phishingwelle Volksbanklcer00Vor 1 TagInformationSicherheit10 Kommentare

Hallo zusammen, bei uns häufen sich gerade Phishing-Emails mit Ziel Volks-Raiffeisen-Bank. Geködert wird zum Teil auch mit der Erwähnung der SecureGo Smartphone-App. Grüße lcer ...