Zum Inhalt springen

Was tun wenn man plötzlich alleine ist?


DerHarte

Empfohlene Beiträge

vor 3 Minuten schrieb DerHarte:

Hab mich da falsch ausgedrückt.
Ich meine das Passwort für den Domänenadministrator.

Ich bleibe dabei, das man das Passwort über das Telefon weitergibt ist eher eines der kleinen Probleme. Die erste Frage die ich mir stelle ist „Woher kennt der das Passwort und warum zur Hölle benutzt er keinen personalisierten Adminaccount?“. 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Gerade eben schrieb Th0mKa:

Ich bleibe dabei, das man das Passwort über das Telefon weitergibt ist eher eines der kleinen Probleme. Die erste Frage die ich mir stelle ist „Woher kennt der das Passwort und warum zur Hölle benutzt er keinen personalisierten Adminaccount?“. 

Klar per Telefon weitergeben ist kein Problem, aber an einen normalen Mitarbeiter der nichts mit der IT zu tun hat?
Möchte ungern, dass irgendein Mitarbeiter auf dem Fileserver oder sonst wo rumturnt.

Er kennt das Passwort weil das alle Administratoren haben.

Zweiteres: Tiered Administration ist ein Thema, aber erstmal führen wir 2FA ein.

Zu viele offene Themen, um alles gleichzeitig zu machen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 13 Minuten schrieb DerHarte:

Klar per Telefon weitergeben ist kein Problem, aber an einen normalen Mitarbeiter der nichts mit der IT zu tun hat?
Möchte ungern, dass irgendein Mitarbeiter auf dem Fileserver oder sonst wo rumturnt.

Natürlich ist das ein Problem, aber das er das überhaupt kann ist ein viel größeres Problem.

vor 14 Minuten schrieb DerHarte:

Er kennt das Passwort weil das alle Administratoren haben.

Denn genau das ist das Problem.

vor 14 Minuten schrieb DerHarte:

Zweiteres: Tiered Administration ist ein Thema, aber erstmal führen wir 2FA ein.

Zu viele offene Themen, um alles gleichzeitig zu machen.

Für jeden Administrator ein personalisiertes Adminkonto anzulegen sollte in weniger als einem Tag zu erledigen sein. Es kann ja erstmal die rechte des Domain Admins haben, aber dann weiß man bei Logauswertung immerhin wer etwas gemacht hat. 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ganz abgesehen davon, dass man den Administrator-Account wirklich nicht verwendet: hier wäre zu prüfen, ob nicht ein meldepflichtiger Datenschutzverstoss vorliegt. Der Anwender hat mit diesem Account Zugriff auf alle Ressourcen (bzw. kann sie sich mit diesem Account verschaffen) - unter anderem auch auf besonders schützenswürdige personenbezogene Daten (beispielsweise Daten der HR).

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor einer Stunde schrieb Th0mKa:

Natürlich ist das ein Problem, aber das er das überhaupt kann ist ein viel größeres Problem.

Denn genau das ist das Problem.

Für jeden Administrator ein personalisiertes Adminkonto anzulegen sollte in weniger als einem Tag zu erledigen sein. Es kann ja erstmal die rechte des Domain Admins haben, aber dann weiß man bei Logauswertung immerhin wer etwas gemacht hat. 

Da gebe ich dir auch Recht. Aber wenn die Antwort: "Das war schon immer so" und "ist so historisch gewachsen" ist. Dann rennt man halt schnell gegen eine Wand.
Ich habe aber schon viele Dinge geändert und werde das weiter tun.

Personalisierte Admin-Kontos waren wie gesagt auch schon geplant.

Eine Frage habe ich aber an dich: Wie macht ihr das mit RDP-Managern? Welcher Benutzer wird hier hinterlegt? Ein eigenständiger für diesen Dienst? Also admin.rdpmanager der kompletten Zugriff hat?

vor einer Stunde schrieb Chief Wiggum:

Ganz abgesehen davon, dass man den Administrator-Account wirklich nicht verwendet: hier wäre zu prüfen, ob nicht ein meldepflichtiger Datenschutzverstoss vorliegt. Der Anwender hat mit diesem Account Zugriff auf alle Ressourcen (bzw. kann sie sich mit diesem Account verschaffen) - unter anderem auch auf besonders schützenswürdige personenbezogene Daten (beispielsweise Daten der HR).

Richtig. Zugriff auf Personalakten, Gehaltslisten und sehr viele andere kritische Daten.
Er koordiniert aber ja auch den Datenschutzbeauftragten. Von daher passt das.


Mir ging es auch nur darum, um zu verstehen warum man sowas macht. Ich kann mir das nicht erklären.
In meiner letzten Firma wäre das ein Kündigungsgrund gewesen. Oder zumindest eine Abmahnung.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 11 Stunden schrieb DerHarte:

Eine Frage habe ich aber an dich: Wie macht ihr das mit RDP-Managern? Welcher Benutzer wird hier hinterlegt? Ein eigenständiger für diesen Dienst? Also admin.rdpmanager der kompletten Zugriff hat?

Nein, auch dort wird jeweils der eigene administrative Nutzer benutzt. Und das Passwort wird idealerweise auch nicht gespeichert.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Kurz am Rande: bei einem meiner Arbeitgeber erhielt ich für zwingend mit lokalem Admin-Account auszuführende Tätigkeiten wie Sonder-Installationen ein Kurzzeit-Passwort für den auf mich personalisierten lokalen Admin meines Geräts. Und jedes Setup, welches häufiger durchgeführt werden musste, wurde paketiert.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Am 8.9.2021 um 19:39 schrieb DerHarte:

Mir ging es auch nur darum, um zu verstehen warum man sowas macht. Ich kann mir das nicht erklären.

Menschen sind von Natur aus faul und suchen sich den Weg des geringsten Widerstands.

Wenn eine Firma irgendwelche neuen Compliance-Prozesse ersinnt, die nicht praktikabel sind und die Leute beim Arbeiten behindern, wird immer ein Weg gefunden, um sie herum zu manövrieren, was den neuen, ach so tollen Prozess komplett ad absurdum führt. Das gilt vor allem bei solchen sensiblen Dingen wie Kennwörtern. Daher ist auch u. a. Zero Trust grundsätzlich, Passwordless und Device Trust samt MFA individuell the new cools Kids on the Block.

Wenn es für die Mitarbeiter einfacher gemacht wird, den sicheren Prozess einzuhalten, als sich das Admin-Kennwort zu beschaffen (z. B. Break Glass Adminkennwort in zwei Teile geteilt, die bei jeweils einer Person im Safe sind und welche beide zusammen eingeben müssen im Vergleich zu Paswordless + Device Trust + Fingerprint), siegt immer die Faulheit und der Prozess wird automatisch eingehalten.

Ist das nicht der Fall, muss der Prozess überarbeitet werden. 

Bearbeitet von Kwaiken
Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 3 Monate später...

Ich möchte mal ein Update zu der Situation geben:

Ich habe zuletzt ein Gespräch mit meinen Vorgesetzten geführt und einige offene und auch kritische Fragen gestellt.
Aus den Antworten kann ich herauslesen, dass er oder auch allgemein das Management keine wirkliche Planung bezüglich der IT hat.

Vor zwei Monaten wurde ich vom HR gefragt wer meine Vertretung ist. Meine Antwort: "Ich hätte schon gern eine. Die ganzen Nacharbeiten nach dem Urlaub etc. sind anstrengend."

Ich habe angeboten eine Stellenanzeige zu schreiben, wurde auch für gut befunden. Auch von meinem Vorgesetzten.
2-3 Monate ist man mit der IT auch so zufrieden. Obwohl er selbst sagt dass die IT am Limit ist.
Gleichzeitig sollen immer mehr Systeme eingeführt werden wie z. B. Lernplattformen um die Mitarbeiter zu schulen.
Auch Sicherheitsschulungen sollen vorbereitet werden.
Die Großprojekte wie VOIP oder ERP auslagern mal völlig davon losgelöst einfach zu viel.

Da der einige Kollege der nichts kann (mir konnte bis heute keiner sagen was er kann. Vorstellungsgespräch und Lebenslauf gab es nicht) zuletzt mal eine Steckdosenleiste im Serverraum gezogen hat und alles ausgefallen ist, wird nur weggelacht.

Dann wurde ich über Linkedin angeschrieben und habe jetzt bald einen neuen AG. :)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...