Tipp zur Nutzung von Zweitaccounts unter Windows

Mitglied: DerWoWusste
Problemstellung:
Wie realisiere ich den Wunsch, auf meinem Domänen-PC als Nichtadmin zu arbeiten und bei Bedarf komfortabel ein Zweitkonto nutzen zu können, auf sichere Weise?

Ziel der Anleitung:
Einen Weg aufzuzeigen, wie man ein zweites Konto nutzbar macht, ohne sich ein langes Kennwort merken zu müssen oder mit Kennwortmanagern zu hantieren.
Es wird hierbei keine zusätzliche Soft- oder Hardware benötigt, jedoch muss eine Domänen-CA vorhanden sein und Euer PC muss über ein TPM-Modul verfügen
Wer eine CA besitzt, aber noch nie virtuelle SmartCards erstellt hat, wird das nicht im Handumdrehen umsetzen können, ein einfaches HowTo von MS ist jedoch verlinkt.

Ich werde die Anleitung knapp und kompakt halten. Wenn Ihr Fragen habt, stellt sie bitte oder regt an, bestimmte Teile ausführlicher zu erklären.

Wer kennt es nicht: man sitzt als Unternehmensadmin an seinem PC, brav angemeldet mit einem schwachen Nutzerkonto für den Alltagsgebrauch und will irgendwas machen, was einen anderen Nutzer oder gar Adminrechte erfordert, ohne sich abzumelden. Dafür gibt es die UAC bzw. runas... - schon muss man ein zweites Kennwort hervorkramen.

Ich hatte vor einiger Zeit mal ein Konzept dazu hier abgelegt: Tipp zur UAC-Nutzung
Das alte Konzept in einem Satz: legt ein lokales Adminkonto ohne Kennwort an und nutzt den Taskplaner dazu, es nur dann zu aktivieren, wenn Ihr selbst angemeldet seid.

Ich habe dieses Jahr viele Erfahrungen mit SmartCards gesammelt und kann damit dieses Konzept noch verbessern, weshalb ich diesen Beitrag nachschiebe.
In Kürze: das alte Konzept wird insofern verbessert, als dass der Nutzer nun auch ein Domänennutzer sein darf und somit auch im Netzwerk handeln kann.

So geht's:

  • legt im AD einen Nutzer an, der sich nur an ausgewählten Workstations anmelden kann, bzw. nur an Eurer, nennen wir ihn "Zweitnutzer"
  • erstellt Euch eine virtuelle SmartCard für eben diesen Nutzer (Anleitung: Abschnitt 3)
  • nutzt die virtuelle SmartCard, wann immer Ihr Euch als Zweitnutzer authentifizieren müsst.

Nun kommt das selbe "Risiko" zum Vorschein, welches schon in meinem ersten Artikel beseitigt werden musste:
An der Anmeldemaske ist nun eine SmartCard zu sehen und wer auch immer Eure PIN rausbekommt, kann sich, wenn er den Rechner hochgefahren vorfindet, damit anmelden.

Kein Problem:
  • einfach zwei Tasks etablieren, die die SmartCard nur dann nutzbar machen, wenn ihr bereits angemeldet seid und auch nur dann, wenn der Screen nicht gesperrt ist:

I)
Name: TPMVSC_aktiv
Ausführendes Konto: System
Aktion: pnputil /enable-device ROOT\SMARTCARDREADER\0000
Trigger1: on workstation unlock of EuerSchwacherNutzer
Trigger2: on local connection of EuerSchwacherNutzer
Trigger3: at logon of EuerSchwacherNutzer

II)
Name: TPMVSC_inaktiv
Ausführendes Konto: System
Aktion: pnputil /disable-device ROOT\SMARTCARDREADER\0000
Trigger1: on workstation lock of any user
Trigger2: on local disconnect from any user session
Trigger3: at system startup
Trigger4 (user logoff): Eventbasiert. Event Log: System, Quelle: winlogon, EventID: 7002

Hinweis: pnputil hat diese Fähigkeit erst ab Win10 v2004 und höher. Ist man noch auf z.B. 1607 LTSB, nutze man stattdessen den Befehl
bzw.
Microsoft's command line tool Devcon.exe kann man auf diese Weise beziehen

Bingo. Die TPMVSC ist nun nicht mehr an der Anmeldemaske zu sehen und somit nur noch durch euren eigenen Nutzer nutzbar.
Ein Angreifer müsste nun sowohl die PIN als auch Euer Kennwort kennen.
Man sollte nun für diesen Zweitnutzer auch festlegen, dass er sich nur noch per SmartCard anmelden darf
sc_required
Was das beinhaltet: man kennt das Kennwort nicht mehr (es wird auf einen endlos langen Zufallsstring gesetzt) - aber das braucht man nun ja auch nicht mehr. Weiteres zu diesem Aspekt inklusive Sicherheitstricks wie Hashrotation, siehe https://rootsecdev.medium.com/virtual-smart-cards-and-password-hashes-in ...

Verwandt mit diesem Thema ist auch mein Beitrag Echte 2FA mit TPM-VSC (virtuelle Smartcards)

Content-Key: 1169383475

Url: https://administrator.de/contentid/1169383475

Ausgedruckt am: 23.09.2021 um 11:09 Uhr

Heiß diskutierte Beiträge
question
Unternehmensnetzwerk aufbauenbluelightVor 1 TagFrageNetzwerke12 Kommentare

Moin zusammen, erstmal vielen Dank an der Stelle, dass mir beim letzten mal so super geholfen wurde! Aktuelle Situation: -> 5 VMs bei Netcup -> ...

question
Netzwerkdosen verbindenR3nN1979Vor 1 TagFrageInternet7 Kommentare

Hallo, Ich ziehe bald um, und benötige dabei Hilfe, wie ich Netzwerkdosen miteinander verbinden kann. Habe überhaupt keine Ahnung davon, aber mir kann jemand von ...

general
Endpoint AV für FirmenumgebungKauzigVor 1 TagAllgemeinErkennung und -Abwehr18 Kommentare

Hallo, aktuell bin ich am Suchen einer Endpoint AV für meine Firmenumgebung wichtig wäre mir ein zentrales Management sowie ggf. sogar ein Patch System. Aktuell ...

question
Ein Domänenbenutzer für alle MitarbeiterMarabuntaVor 18 StundenFrageWindows Userverwaltung6 Kommentare

Hi, ist es möglich/sinnvoll bzw. wie ist es lizenztechnisch, wenn es einen Domänen-Benutzer für alle Mitarbeiter(10) gibt, diese Benutzen eine Branchensoftware in der jeder eigene ...

question
Einarbeitung VPN und entsprechende RouterFrankNVor 1 TagFrageRouter & Routing8 Kommentare

Hallo zusammen, ich bin am Einarbeiten in das Thema VPN-Router. Ich suche ein Gerät, das es ermöglicht, ca. 50 VPN-Tunnel zu verwalten für eine Zentrale ...

question
Powershell Logon Script Problematikjoe2017Vor 1 TagFrageBatch & Shell19 Kommentare

Schönen guten Morgen, ich habe eine Frage an die Spezialisten hier. Denn ich bin gerade ratlos und am verzweifeln. Ich habe in meinem Domain Controler ...

question
Bewertung von Rechnern (Gewichtung von CPU, RAM und Festspeicher)SarekHLVor 1 TagFrageBenchmarks11 Kommentare

Hallo zusammen, ich habe hier eine Aufstellung verschiedener Rechner mit - Leistungsbewertung der CPU mit CPUMark (Quelle: - Größe Arbeitsspeicher - SSD oder HDD Wie ...

question
Was ist die beste Lösung für servergespeicherte Profile für 10 Rechner?Yan2021Vor 12 StundenFrageNetzwerke9 Kommentare

Hallo liebe Admin-User, in einem anderen Thread ging es um die Sicherung von Dienst-PCs per Image. Daraus entstand dann eine Diskussion über servergespeicherte Profile. Da ...