Zum Inhalt springen

Was tun wenn man plötzlich alleine ist?


 Teilen

Empfohlene Beiträge

vor 3 Minuten schrieb DerHarte:

Hab mich da falsch ausgedrückt.
Ich meine das Passwort für den Domänenadministrator.

Ich bleibe dabei, das man das Passwort über das Telefon weitergibt ist eher eines der kleinen Probleme. Die erste Frage die ich mir stelle ist „Woher kennt der das Passwort und warum zur Hölle benutzt er keinen personalisierten Adminaccount?“. 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Gerade eben schrieb Th0mKa:

Ich bleibe dabei, das man das Passwort über das Telefon weitergibt ist eher eines der kleinen Probleme. Die erste Frage die ich mir stelle ist „Woher kennt der das Passwort und warum zur Hölle benutzt er keinen personalisierten Adminaccount?“. 

Klar per Telefon weitergeben ist kein Problem, aber an einen normalen Mitarbeiter der nichts mit der IT zu tun hat?
Möchte ungern, dass irgendein Mitarbeiter auf dem Fileserver oder sonst wo rumturnt.

Er kennt das Passwort weil das alle Administratoren haben.

Zweiteres: Tiered Administration ist ein Thema, aber erstmal führen wir 2FA ein.

Zu viele offene Themen, um alles gleichzeitig zu machen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 13 Minuten schrieb DerHarte:

Klar per Telefon weitergeben ist kein Problem, aber an einen normalen Mitarbeiter der nichts mit der IT zu tun hat?
Möchte ungern, dass irgendein Mitarbeiter auf dem Fileserver oder sonst wo rumturnt.

Natürlich ist das ein Problem, aber das er das überhaupt kann ist ein viel größeres Problem.

vor 14 Minuten schrieb DerHarte:

Er kennt das Passwort weil das alle Administratoren haben.

Denn genau das ist das Problem.

vor 14 Minuten schrieb DerHarte:

Zweiteres: Tiered Administration ist ein Thema, aber erstmal führen wir 2FA ein.

Zu viele offene Themen, um alles gleichzeitig zu machen.

Für jeden Administrator ein personalisiertes Adminkonto anzulegen sollte in weniger als einem Tag zu erledigen sein. Es kann ja erstmal die rechte des Domain Admins haben, aber dann weiß man bei Logauswertung immerhin wer etwas gemacht hat. 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ganz abgesehen davon, dass man den Administrator-Account wirklich nicht verwendet: hier wäre zu prüfen, ob nicht ein meldepflichtiger Datenschutzverstoss vorliegt. Der Anwender hat mit diesem Account Zugriff auf alle Ressourcen (bzw. kann sie sich mit diesem Account verschaffen) - unter anderem auch auf besonders schützenswürdige personenbezogene Daten (beispielsweise Daten der HR).

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor einer Stunde schrieb Th0mKa:

Natürlich ist das ein Problem, aber das er das überhaupt kann ist ein viel größeres Problem.

Denn genau das ist das Problem.

Für jeden Administrator ein personalisiertes Adminkonto anzulegen sollte in weniger als einem Tag zu erledigen sein. Es kann ja erstmal die rechte des Domain Admins haben, aber dann weiß man bei Logauswertung immerhin wer etwas gemacht hat. 

Da gebe ich dir auch Recht. Aber wenn die Antwort: "Das war schon immer so" und "ist so historisch gewachsen" ist. Dann rennt man halt schnell gegen eine Wand.
Ich habe aber schon viele Dinge geändert und werde das weiter tun.

Personalisierte Admin-Kontos waren wie gesagt auch schon geplant.

Eine Frage habe ich aber an dich: Wie macht ihr das mit RDP-Managern? Welcher Benutzer wird hier hinterlegt? Ein eigenständiger für diesen Dienst? Also admin.rdpmanager der kompletten Zugriff hat?

vor einer Stunde schrieb Chief Wiggum:

Ganz abgesehen davon, dass man den Administrator-Account wirklich nicht verwendet: hier wäre zu prüfen, ob nicht ein meldepflichtiger Datenschutzverstoss vorliegt. Der Anwender hat mit diesem Account Zugriff auf alle Ressourcen (bzw. kann sie sich mit diesem Account verschaffen) - unter anderem auch auf besonders schützenswürdige personenbezogene Daten (beispielsweise Daten der HR).

Richtig. Zugriff auf Personalakten, Gehaltslisten und sehr viele andere kritische Daten.
Er koordiniert aber ja auch den Datenschutzbeauftragten. Von daher passt das.


Mir ging es auch nur darum, um zu verstehen warum man sowas macht. Ich kann mir das nicht erklären.
In meiner letzten Firma wäre das ein Kündigungsgrund gewesen. Oder zumindest eine Abmahnung.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 11 Stunden schrieb DerHarte:

Richtig. Zugriff auf Personalakten, Gehaltslisten und sehr viele andere kritische Daten.
Er koordiniert aber ja auch den Datenschutzbeauftragten. Von daher passt das.

Die Aussage bzw. Einstellung finde ich fast genauso schlimm wie die Weitergabe des Passworts ...

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 11 Stunden schrieb DerHarte:

Eine Frage habe ich aber an dich: Wie macht ihr das mit RDP-Managern? Welcher Benutzer wird hier hinterlegt? Ein eigenständiger für diesen Dienst? Also admin.rdpmanager der kompletten Zugriff hat?

Nein, auch dort wird jeweils der eigene administrative Nutzer benutzt. Und das Passwort wird idealerweise auch nicht gespeichert.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Kurz am Rande: bei einem meiner Arbeitgeber erhielt ich für zwingend mit lokalem Admin-Account auszuführende Tätigkeiten wie Sonder-Installationen ein Kurzzeit-Passwort für den auf mich personalisierten lokalen Admin meines Geräts. Und jedes Setup, welches häufiger durchgeführt werden musste, wurde paketiert.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Am 8.9.2021 um 19:39 schrieb DerHarte:

Mir ging es auch nur darum, um zu verstehen warum man sowas macht. Ich kann mir das nicht erklären.

Menschen sind von Natur aus faul und suchen sich den Weg des geringsten Widerstands.

Wenn eine Firma irgendwelche neuen Compliance-Prozesse ersinnt, die nicht praktikabel sind und die Leute beim Arbeiten behindern, wird immer ein Weg gefunden, um sie herum zu manövrieren, was den neuen, ach so tollen Prozess komplett ad absurdum führt. Das gilt vor allem bei solchen sensiblen Dingen wie Kennwörtern. Daher ist auch u. a. Zero Trust grundsätzlich, Passwordless und Device Trust samt MFA individuell the new cools Kids on the Block.

Wenn es für die Mitarbeiter einfacher gemacht wird, den sicheren Prozess einzuhalten, als sich das Admin-Kennwort zu beschaffen (z. B. Break Glass Adminkennwort in zwei Teile geteilt, die bei jeweils einer Person im Safe sind und welche beide zusammen eingeben müssen im Vergleich zu Paswordless + Device Trust + Fingerprint), siegt immer die Faulheit und der Prozess wird automatisch eingehalten.

Ist das nicht der Fall, muss der Prozess überarbeitet werden. 

Bearbeitet von Kwaiken
Link zu diesem Kommentar
Auf anderen Seiten teilen

Deine Meinung

Schreibe jetzt und erstelle anschließend ein Benutzerkonto. Wenn Du ein Benutzerkonto hast, melde Dich bitte an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

 Teilen


Fachinformatiker.de, 2021 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...

Wichtige Information

Fachinformatiker.de verwendet Cookies. Mehr dazu in unserer Datenschutzerklärung