Zugriffsverealtung von Mitarbeiterlaptops

[BuckyWS]

Hallo liebe Community,

ich habe mal eine ganz allgemeine Frage zum Thema Sicherheit bzw. Zugriffsvergabe (in meinem Beispiel: Mitarbeiter Laptops).

Ich würde gerne einen neuen Laptop für einen Mitarbeiter konfigurieren (Office 365, Windows Updates, etc.) und ihm nach Übergabe verständlicherweise nicht alle Rechte einräumen, um diesen Laptop nach belieben anzupassen (systemrelevante Daten ändern, etc.).

Wie würdet ihr das am ehesten bewerkstelligen? Ein einfaches Windows Standardkonto mit voriger Adminkonto-Konfiguration? Etwaige cloud basierte Plattformen (Azure, AWS) für die Ressourcenverwaltung? Windows Server (scheint mir btw für einen Mitarbeiter viel zu überdimensioniert xD)? Alternative Tools, die dem o.g. Zweck dienlich sein könnten?

Es geht mir wie gesagt in erster Linie darum, dass nach meiner persönlichen Konfiguration keine weiteren Änderungen am System vorgenommen werden können, ohne das ich das vorher autorisiere.

Hättet ihr da eventuell Vorschläge? Wie würdet ihr die Thematik lösen?

Ich bedanke mich vorab für die Rückmeldungen und wünsche einen angenehmen Abend.

LG

 

[TorenAltair]

Bei einem Mitarbeiter? Ihm sagen, was er machen darf und was nicht.

 

[CrazyT]

Würde es über die richtlinien lösen, ihm keinen Adminaccount, bzw einen "entschärften Adminaccount" erstellen und per Adminaccount halt die richtlinien nach deinen belieben konfigurieren.

@TorenAltair Schon mal einem Kind verboten was zu machen?!

Ja natürlich könnte man da dann arbeitsrechtlich kommen ABER sowas von vorn herein schon zu unterbinden ist, gerade im berufsfeld, nicht verkehrt!

 

[BuckyWS]

@TorenAltair
Wäre schön, wenn man sich darauf verlassen könnte. Aber ich möchte die Entscheidung nicht der Gutmütigkeit Dritter geben, sondern selbst bestimmen gemäß dem Motto: Vertrauen ist gut, Kontrolle ist besser

Ergänzung (15. Dezember 2022)

entfernt

Danke für deine Antwort @CrazyT. Wird wahrscheinlich darauf hinauslaufen.

 

[TorenAltair]

Bei mehreren/vielen Mitarbeitern würde ich zustimmen. Bei einem Mitarbeiter braucht man meiner Meinung nach Vertrauen. Ohne Domänencontroller hebelt man ohne Schwierigkeiten sämtliche Massnahmen auch aus, wenn man will.
Nachtrag: Wenn es um eine Person geht und man sagt, was diese machen darf und was nicht, dann ist es auch sehr klar, wenn etwas verstellt ist, wer es war, anders als bei vielen Mitarbeitern.

 

[Aduasen]

Ich würde das Ding genauso konfigurieren, wie bei allen anderen Kollegen auch.
Da gibt es rechtliche Vorgaben, die einzuhalten sind.

Oder hast Du ernsthaft nur einen Mitarbeiter?

 

[RexCorvus]

Ich finde es immer wieder spannend wenn in einem öffentlich/privatem Forum Fragen gestellt werden für Arbeit/Firmen und/oder Admins.
Mir tun die Mitarbeiter leid wenn ein Admin sowas fragen muss - sorry für meine harten Worte aber ich kenne unsere IT und mich würds nicht wundern wenn die Kollegen hier auch solche Fragen stellen

 

[Lawnmower]

Schon aus Sicherheitsgründen - die dann potentiell die ganze Firma gefährden können - bekommen Mitarbeiter meistens keine lokalen Adminrechte.
Einfach normales Benutzerkonto passt. Bei nur 1 Mitarbeiter ein lokales Adminkonto dass der IT Administrator/Verantwortliche verwendet.

 

[redjack1000]

Bei mir bekommen Mitarbeiter, nur in "extremen" Ausnahmefällen, lokale Adminrechte.

Auch mein Benutzerkonto "ist" ein normales Standardkonto, brauche ich Adminrechte, wechsle ich das Konto.

Cu
redjack

 

[foofoobar]

Schon aus Sicherheitsgründen - die dann potentiell die ganze Firma gefährden können - bekommen Mitarbeiter meistens keine lokalen Adminrechte.
Einfach normales Benutzerkonto passt. Bei nur 1 Mitarbeiter ein lokales Adminkonto dass der IT Administrator/Verantwortliche verwendet.

Das schützt nicht die Physik.

Ergänzung (15. Dezember 2022)

Ich finde es immer wieder spannend wenn in einem öffentlich/privatem Forum Fragen gestellt werden für Arbeit/Firmen und/oder Admins.
Mir tun die Mitarbeiter leid wenn ein Admin sowas fragen muss - sorry für meine harten Worte aber ich kenne unsere IT und mich würds nicht wundern wenn die Kollegen hier auch solche Fragen stellen

Jeder Admin soll sich selber ausdenken was er in einer Firma konfiguriert?

 

[BuckyWS]

Ich würde das Ding genauso konfigurieren, wie bei allen anderen Kollegen auch.
Da gibt es rechtliche Vorgaben, die einzuhalten sind.

Oder hast Du ernsthaft nur einen Mitarbeiter?

Starten Unternehmen/Selbstverständige für gewöhnlich mit mehreren Mitarbeitern? Irgendwo fängt jeder an und baut alles Step by Step auf

Ergänzung (15. Dezember 2022)

Ich finde es immer wieder spannend wenn in einem öffentlich/privatem Forum Fragen gestellt werden für Arbeit/Firmen und/oder Admins.
Mir tun die Mitarbeiter leid wenn ein Admin sowas fragen muss - sorry für meine harten Worte aber ich kenne unsere IT und mich würds nicht wundern wenn die Kollegen hier auch solche Fragen stellen

Ich denke du hast mein Anliegen falsch verstanden. Mir geht es nicht darum eine Schritt für Schritt Anleitung zu erhalten, wie ich als Admin ein Konto konfiguriere. Vielmehr geht es mir um die verschiedenen Möglichkeiten der Ressourcen- und Zugriffsverwaltung und welche sich in der Praxis bewährt haben.

 

[IBISXI]

Grundsätzlich ist interessant ob der Laptop in einem Firmennetz mit wichtigen Daten ist.

Wenn nicht, lass das Teil offen und setze auf Eigenverantwortung.
Das klappt gut bei Leuten die ein gewisses Grundverständnis vom Internet und der Technik haben.

 

[BuckyWS]

Das schützt nicht die Physik.

Ergänzung (15. Dezember 2022)

Jeder Admin soll sich selber ausdenken was er in einer Firma konfiguriert?

Hättest du eventuell einen anderen Ansatz anstelle der Standardkonten? Ich möchte auch ein Stück weit vorausdenken und da missfällt mir das Bild lokaler Rechenzentren, in denen alles verwaltet wird. Stichwort: Cloud.

 

[Falc410]

Wenn du es O365 benutzt, schau dir mal Microsoft Intune an

 

[RexCorvus]

Sorry aber es fehlt hier einiges an Info
Müsst ihr geistiges Eigentum schützen oder habt kritische Infrastruktur. Sind die Mitarbeiter im Homeoffice oder auch bei Kunden unterwegs ?
Die Eingangsfrage (und das möge man mir verzeihen dass ich hier etwas hitzig reagiere) liest sich so als würde man"mal was probieren wollen" und das kann grandios nach hinten losgehen und im schlimmsten Fall ein riesiger Schaden für die Firma werden

 

[User007]

Hi...

Eine wirklich kontrollierbare bzw. kontrollierte Zugriffsverwaltung für mehrere (egal, wie viele auch immer, jedoch wohl mind. zwei) Benutzer kann nur mittels Domänensteuerung (bzw. AD) erfolgen.

Selbstverantwortlichkeit funktioniert nur mit entsprechendem Motivationswillen und zumind. grundsätzlichem Verständnis für die Wichtigkeit von systematischen Strukturen und Sicherheit.
​

Ich möchte auch ein Stück weit vorausdenken [...]

Soll was genau bedeuten - wie weit voraus (bspw. bezogen auf die MA-Anzahl)?

Btw.:​

Mir tun die Mitarbeiter leid wenn ein Admin sowas fragen muss - sorry für meine harten Worte aber ich kenne unsere IT und mich würds nicht wundern wenn die Kollegen hier auch solche Fragen stellen

Sehr eindimensionale Sichtweise - nicht jedes "Unternehmen" hat eine eigenständige IT-Abteilung geschweige denn dafür ausgebildetes Fachpersonal und/oder kann sich aus finanzwirtschaftlichen Gründen auch nicht unbedingt (immer) fachkompetente Extern-Unterstützung leisten. Manchmal muß halt der Inhaber eines Start-Ups auch den "Admin" geben... 🤷‍♂️​

 

[Iqra]

1. Bitlocker oder äquivalent.
2. Bios password.
3. UEFI Secure Boot.
4. Pxe entweder nur per password oder ganz aus.
5. A den Schnittstellen usb-Storage verbieten oder ganz aus.
6. Keine Admin rechte.
7. Darauf achten dass die schreibmöglichkeiten nicht aus dem Benutzerprofil ausbrechen können. Das ist manchmal etwas komisch. Notfalls den Benutzer aus den Benutzern rausnehmen.
8. Überlegen wo der Mensch seine Daten hin speichern soll. Lokal? Netz?

Ich geh davon aus das das Teil in einer Domain hängt, alles an Vorgaben dann da drüber. Adminkonten können das umgehen, daher kein Adminkonto rausrücken.

Den Rest dem Anwender überlassen. Die Kunst ist, den Mittelweg zu treffen, wenn man zu sehr einschränkt dann sucht der Anwender eher nach Schwachstellen oder weicht gleich ganz aus.

 

[BuckyWS]

Sorry aber es fehlt hier einiges an Info
Müsst ihr geistiges Eigentum schützen oder habt kritische Infrastruktur. Sind die Mitarbeiter im Homeoffice oder auch bei Kunden unterwegs ?
Die Eingangsfrage (und das möge man mir verzeihen dass ich hier etwas hitzig reagiere) liest sich so als würde man"mal was probieren wollen" und das kann grandios nach hinten losgehen und im schlimmsten Fall ein riesiger Schaden für die Firma werden

Danke für deinen Input. Ein Punkt der vielleicht noch Licht ins Dunkeln bringt: Der Mitarbeiter wird hauptsächlich mit Adobe Photoshop arbeiten. Auf Netzwerkdateien wird hier nicht zugegriffen. Und ja es kann auch mal vorkommen, dass die Person von zu Hause arbeitet. Deshalb geht es mir in erster Linie um den "Schutz" des Systems, wenn er dann mal nicht vor Ort ist.

 

[User007]

Deshalb geht es mir in erster Linie um den "Schutz" des Systems, [...]

Was "befürchtest" Du denn?

 

[BuckyWS]

Hi...

Eine wirklich kontrollierbare bzw. kontrollierte Zugriffsverwaltung für mehrere (egal, wie viele auch immer, jedoch wohl mind. zwei) Benutzer kann nur mittels Domänensteuerung (bzw. AD) erfolgen.

Selbstverantwortlichkeit funktioniert nur mit entsprechendem Motivationswillen und zumind. grundsätzlichem Verständnis für die Wichtigkeit von systematischen Strukturen und Sicherheit.
​

Soll was genau bedeuten - wie weit voraus (bspw. bezogen auf die MA-Anzahl)?

Btw.:

Sehr eindimensionale Sichtweise - nicht jedes "Unternehmen" hat eine eigenständige IT-Abteilung geschweige denn dafür ausgebildetes Fachpersonal und/oder kann sich aus finanzwirtschaftlichen Gründen auch nicht unbedingt (immer) fachkompetente Extern-Unterstützung leisten. Manchmal muß halt der Inhaber eines Start-Ups auch den "Admin" geben... 🤷‍♂️​

Danke für deinen Input an dieser Stelle.

Soll was genau bedeuten - wie weit voraus (bspw. bezogen auf die MA-Anzahl)?

Unter anderem ja. Aber ich möchte auch gerne vorab Vorkehrungen treffen, wenn die Kollegen mal nicht vor Ort sind und von zu Hause aus arbeiten. Letzteres ist eher die Grundlage meiner ursprünglichen Anfrage und die damit verbundenen Sicherheitsgewährleistungen.