ComputerBase Menü
Aktuelles

Absicherung geteilter Benutzerkonten (Active Directory)

charmin

charmin

Fleet Admiral Pro
Registriert
Mai 2004
Beiträge
10.266
Moin zusammen,

ich beschäftige mich aktuell damit die diversen Probleme unseres ADs anzugehen. Ein großer Punkt sind dabei für mich die geteilten Benutzerkonten in der Produktion (Industrieunternehmen). Mit meiner Suche bin ich bisher leider nicht weit gekommen, mehr als "geteilte Konten sind böse" finde ich nicht (ist ja grundsätzlich auch richtig, lässt sich aber nunmal nicht immer vermeiden). Meine Frage daher ob hier jemand Erfahrungen damit hat solche Konten ordentlich abzusichern (z.B. via 2FA). Würde mich über Ideen und Vorschläge freuen.
 
Hi,

  • wieso lässt es sich nicht vermeiden?
  • was verstehst du unter "ordentlich absichern"? Wogegen bzw. wofür? Was soll vermieden oder erreicht werden?

VG,
Mad
 
@Madman1209

Zu Punkt 1.):
  • Anlagen und Maschinen die wir nicht in der Hand haben
  • Häufe Mitarbeiter/Schichtwechsel
  • Messgeräte mit vorgeschriebenen Benutzerkonten vom Hersteller
  • Unregelmäßige PC Nutzung die dazu führt das Passwörter doch wieder als PostIt am Monitor hängen
  • Mitarbeiter die mit z.B. Benutzerwechsel und eigenem komplexen Passwort überfordert sind
  • Uralte Programme die das nicht unterstützen

Zu Punkt 2.):
  • Keine Passwörter (Authentifizierung via Token, Karte, ...)
  • Zuordnung Mitarbeiter zu Account um ggf. Identifizierung zu ermöglichen
 
Moin,

"Funktionsuser/ geteilte Accounts" sollte nur die nötigsten Rechte haben. Absichern mit 2 Faktor usw. wird nichts bringen. Sobald mehrere das Passwort kennen, wird es schwierig.
charmin schrieb:
@Madman1209
Zu Punkt 1.):
  • Anlagen und Maschinen die wir nicht in der Hand haben
  • Häufe Mitarbeiter/Schichtwechsel
  • Messgeräte mit vorgeschriebenen Benutzerkonten vom Hersteller
  • Unregelmäßige PC Nutzung die dazu führt das Passwörter doch wieder als PostIt am Monitor hängen
  • Mitarbeiter die mit z.B. Benutzerwechsel und eigenem komplexen Passwort überfordert sind
  • Uralte Programme die das nicht unterstützen
Zum Vergrößern anklicken....
Sobald die Maschinen Windows haben, kannst du Sie auch mehr oder weniger in die Domäne einbinden. Entweder geht das oder die Maschinen können auch autark arbeiten. Falls ein Fernzugriff erfolgen muss, kann dieser auch auf Netzwerkebene gesichert werden indem die Kommunikation der Maschine eingeschränkt wird.
Für Messgeräte gilt dasselbe. Oder diese müssen nicht in das AD da sie sowieso nur von authorisiertem Fachpersonal bedient werden.
Gegen das PostIT kannst du wenig machen außer Accounts sperren wenn du so etwas siehst.
Das Thema "überforderte Mitarbeiter" ist nicht deine Aufgabe. Das müssen andere Hirachien lösen.
Uralte Programme können isoliert laufen z.B. auf PCs ohne Netzwerkzugriff oder über das Netzwerk mit abgeschotteter Kommunikation.

charmin schrieb:
@Madman1209
Zu Punkt 2.):
  • Keine Passwörter (Authentifizierung via Token, Karte, ...)
  • Zuordnung Mitarbeiter zu Account um ggf. Identifizierung zu ermöglichen
Zum Vergrößern anklicken....
In dem Fall keine Funktionsaccounts ;)

gruß
 
  • Gefällt mir
Reaktionen: Raijin
Hi Charmin,
wir haben bei uns einen Kiosk-Modus etabliert, bei dem nur das Service-Konto und das Programm, auf das alle zugreifen müssen, läuft.

Das ganze wird im AD mit einer eigenen Computer-OU für die Policy-Verteilung eingerichtet.

Funktioniert auch dann gut, wenn die notwendigen Programme ein eigenes User-Anmeldesystem haben; aber der ideale Einsatzzweck ist natürlich eher bei Systemen, die einfach immer im Hintergrund laufen müssen und alle mal draufschauen müssen, z.B. Monitoringsysteme.

Technische Einzelheiten kann ich Dir leider nicht nennen, aber es ist eine gute Lösung, die bis zur Etablierung aber u.U. einiges an Testzeit in Anspruch nimmt - wenn es dann aber erst einmal läuft thumbs up :)

Viele Grüße
Der_kleine_Nils
 
Die Frage ist was am Ende überhaupt erreicht werden soll. Geht es darum, dass der eine oder andere Nutzer Änderungen am System macht, die man natürlich wieder rückgängig machen will, dann geht's in Richtung Kiosk-System oder zB den Write Filter von Windows selbst, der alle Schreibzugriffe auf das geschützte Laufwerk im RAM vorhält und beim Neustart verwirft. Dadurch ist sichergestellt, dass spätestens nach einem Reboot alles wieder funktioniert, wenn irgendwer dran rumgefummelt hat.

Oder geht es wirklich darum, dass jeder einzelne Nutzer eindeutig identifiziert werden kann, weil dieser dann ggfs unterschiedliche Berechtigungen am PC und/oder in anderen Programmen bekommen soll? Das wäre zumindest an unseren Industrieanlagen bei den Kunden wenig zielführend, weil da mehrere Operator quasi gleichzeitig an denselben Panels arbeiten müssen, schnell und beliebig abwechselnd. Die wären sonst nur noch mit Einloggen beschäftigt....

Gegen die Weitergabe von Logins, sei es mit PostITs oder sonstwie, kannst du wenig tun. Das ist nun mal die Schwachstelle Mensch, die kein Sicherheitsmechanismus auf dieser Erde vollständig eliminieren kann.
 
  • Gefällt mir
Reaktionen: Madman1209
Ein paar Ideen in den Raum geworfen:
  • eigenes VLAN für PCs die mit generischen Funktionsaccounts arbeiten müssen; Zugriff auf andere Netze/Ressourcen auf das allernötigste einschränken (default deny)
  • eigene OU für die entsprechenden Bereiche; eigene GPOs
  • Applocker bzw. Anwendungs-Whitelist über GPOs erzwingen
  • bei gestellten PCs: eigenes VLAN das nirgendwo hin kann & den Hersteller machen lassen
  • bei Anwendungen die "unbedingt" mit lokalen Admin-Rechten gestartet werden müssen,:
    • genauestens hinterfragen ob sie das wirklich brauchen
    • mit Process Monitor & Co. mal ganz genau nachschauen wo die Anwendung reingreift & entsprechend granulare ACLs setzen --> hierbei vorsichtig sein dass der Herstellersupport nicht einem einen Vogel zeigt wenn das rauskommt
    • ggf. die Anwendung/Hersteller rauswerfen


====

Letztens auch wieder so einen Fall gehabt: Bei einem Kunden wird z. Z. Sophos Endpoint + Intercept X ausgerollt.
Bei neu provisionierten PCs funktioniert eine wichtige Anwendung nicht mehr. Intercept X hält die Anwendung direkt an.

Ursache:
  • Doppelklick auf die Verknüpfung startet irgendeinen Java-Webstart-Dummfug
  • Java-Webstart-Fugbla initialisiert Browser
  • Browser lädt ein anderes Java-Fiddelding vom Anwendungsserver runter
  • dieses nächste Java-Hammelgrampf lädt eine .exe-Datei in ein temporäres Verzeichnis im AppData-Verzeichnis des gerade angemeldeten Benutzers herunter und startet sie von da aus
Wenn es wie eine Malware läuft, wie eine Malware schwimmt und wie eine Malware quackt, ist es LOB-Software.
 
  • Gefällt mir
Reaktionen: Raijin und Madman1209
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

J
Active Directory in LDAP integrieren
Antworten
5
Aufrufe
955
Skysnake
S
dj-hotline
Active Directory - Security Tipps
Antworten
18
Aufrufe
1.397
dj-hotline
dj-hotline
schrotti12
[Ubuntu 23.10 Cinnamon] Active Directory Benutzer für Systemänderung
Antworten
2
Aufrufe
1.000
schrotti12
schrotti12
Unbrained
Software(?) zum erstellen von Google, Active Directory, 1Password und 3CX Accounts
Antworten
6
Aufrufe
2.093
crashbandicot
crashbandicot
K
DNS Server bei Active Directory zeigt immer auf Router
Antworten
10
Aufrufe
3.731
Renegade334
R
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz