Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherer Umgang mit Supportkonten

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

02.02.2015, aktualisiert 12.10.2015, 7344 Aufrufe, 6 Kommentare, 13 Danke

Dies ist eine kompakte Anleitung zu folgendem Admin-Problem, hier gemünzt auf Windows:

User brauchen unseren Support und wir Supporter gebrauchen nicht selten globale administrative Konten, um diesen zu leisten.
Diese Konten sicher einzusetzen, ist bei genauer Betrachtung eine Herausforderung.

Jeder Admin, der es mit der Sicherheit ernst nimmt, fürchtet Angriffe auch durch eigene Kollegen.
Somit steht er beim Usersupport vor einem kleinen Dilemma: genau genommen ist jeder User-PC „Feindesland“.
Wie authentifizieren wir uns am PC des Users, ohne Gefahr zu laufen, dass der User unsere starken Konten kapert?
Nehmen wir Remoteunterstützung, Remotedesktop oder Teamviewer, setzen wir uns gemeinsam mit dem User davor, machen wir das erst nach Feierabend des Users…geben wir Kennwörter im Beisein des Users ein, mit UAC oder ohne, mittels runas, nutzen wir gar 2-Faktor-Authentifizierung? Nutzen wir lokale Admins, oder doch gleich den Domänenadmin oder erschaffen wir eine AD-Gruppe mit erweiterten Rechten? Und wie pflegen wir die Kennwörter? Listen schreiben, merken, alle gleich setzen? Oder lassen wir den User doch seine Probleme alleine lösen und geben ihm gleich lokale Adminrechte? ;)

Man findet verschiedene Empfehlungen dazu auch seitens Microsoft und doch möchte ich meinen eigenen Ansatz hier ausstellen und empfehlen. Er kommt ohne 2-Faktor-Authentifizierung und ohne weitere Software aus und ist robust. Ich setze ihn seit nunmehr einem Jahr ein.

Der Grundgedanke lautet: es ist unnötig, zum Support ein Konto zu nutzen, welches auf mehr Maschinen als dem Ziel-PC Adminrechte hat!
Man hätte davon keinen Gewinn, geht aber große Risiken ein (siehe Mimikatz und Co., Sicherheitsprobleme von Kerberos).

Der Grund, warum vielerorts Adminkonten benutzt werden, die an vielen/allen Clientrechnern Adminrechte haben, ist lediglich Bequemlichkeit.
Ich werde zeigen, dass dies auf andere Weise bequem und sicher zugleich geht.

Das Einsatz-Szenario: Nutzer braucht Support, das Problem wurde (ggf. über RemoteAssistance mit dem User zusammen) identifiziert, doch leider werden Adminrechte benötigt, um es zu beheben.
Die Admincredentials sollen ausdrücklich nicht in der Usersitzung eingegeben werden.


Von mir war beabsichtigt:
A Für maximale Sicherheit exklusiv ein eigenes Supportkonto mit Adminrechten pro PC zu haben
B mit diesem Konto Zugriff auf Domänenressourcen zu haben
C dieses Konto nur für die Zeit des Supportfalles zu aktivieren
D keine Kennwortlisten führen zu müssen (ja nicht einmal jemals ein Kennwort zu kennen oder eingeben zu müssen)

Und so wurde ein Schuh draus:

1 wir legen in der Domain automatisiert für jeden PC („PCxy“) ein deaktiviertes Benutzerkonto adminPCxy mit Zufallskennwort an, welches sich nirgendwo anmelden kann: logonworkstations:Fantasiename (hier:haiopai). Beispiel: Liste.txt mit PCs erstellen, dann auf dem DC
01.
for /f %a in (liste.txt) do net user /add admin%a /random /active:no /WORKSTATIONS:haiopai
ausführen
2 Diese Konten kommen in eine eigene OU, auf die die eigenen (schwachen) Konten der Supportmitarbeiter volle Rechte delegiert bekommen (mittels delegation of control wizard)
3 Ein Domänenstartskript macht auf jedem PC das jeweils zugehörige Konto zum Mitglied der lokalen Admingruppe.
01.
net localgroup /add administrators admin%computername% 
02.
net localgroup /add administratoren admin%computername%
(einmal für englische Systeme, einmal für deutsche Systeme)
4 Wenn Supportbedarf Adminrechte erfordert, aktiviert der Supporter per (nachfolgendem) Skript dieses Konto, lässt das Skript ein neues Kennwort setzen und diese Credentials zugleich im Credential Manager seines eigenen Rechners ablegen und baut damit automatisch eine Remotedesktopverbindung zum PCxy auf. Ist man fertig, wird das Supportkonto wieder automatisch deaktiviert.
Das Skript selbst ist ebenfalls simpelster Batchcode, verfeinert mit einem Powershellskript (public domain) aus http://www.sans.org/windows-security/files/scripts.zip , welches Zufallskennwörter (anpassbare Länge, default: 15) generiert
genauer: scripts.zip\Day6-PowerShell\GenerateRandomPassword.ps1 *
01.
@echo off 
02.
set /p target=Auf welchen PC willst Du?: %=% 
03.
for /f %%a in ('powershell \\server\share\GenerateRandomPassword.ps1') do net user admin%target% %%a /domain /active /workstations:%computername%,%target% & cmdkey /add:TERMSRV/%target% /user:netbiosdomainname\admin%target% /pass:%%a 
04.
start mstsc /v:%target% 
05.
pause 
06.
net user admin%target% /active:no /domain
Das Konto kann also völlig gefahrlos zur Hilfe via RDP eingesetzt werden. Wenn man die Batch durch anykey korrekt beendet, wird es sofort wieder deaktiviert. Zur Sicherheit läuft auf dem DC jedoch ein Task, welcher nach Feierabend alle Supportadmins deaktiviert.

* Ich habe dieses Skript minimal angepasst:
Zeile 65 auskommentiert:
01.
 #1..20 | foreach { Generate-RandomPassword -length $length } ; "`n"
Und dahinter eingefügt:
01.
1 | foreach { Generate-RandomPassword -length $length } ; "`n"
Das wär's. Sicherlich kann man dies weiter verfeinern, aber hier soll nur das Grundgerüst ausgestellt (und vielleicht diskutiert) werden.
Mitglied: Herbrich19
03.02.2015 um 01:30 Uhr
Ich muss sagen deine lösung gefällt mir recht gut. Vlt noch ein Sicerheitslog wo drinnen steht welcher support user zur welcher zeit admin zugrif auf welchen rechner hatte.

LG, Herbrich
Bitte warten ..
Mitglied: Alchimedes
03.02.2015 um 19:03 Uhr
Hallo

@DerWoWusste !

danke fuer die Anleitung
Sie gefaellt mir sehr gut und ich hab mal unserem Abteilungsleiter-Winbloedmausschubser den Link geschickt.

@Herbrich

Vlt noch ein Sicerheitslog wo drinnen steht welcher support user zur welcher zeit admin zugrif auf welchen rechner hatte.

Meiner Meinung nach findet man diese Info doch in den Security Eventlogs ?

per powershell z.B get-eventlog -newest 10 -logname security | Format-List
aber da gibt es bestimmt noch bessere Ideen.

Gruss
Bitte warten ..
Mitglied: killtec
04.02.2015 um 13:00 Uhr
Hi @DerWoWusste,
klasse Tipp und Anleitung

Gruß
Bitte warten ..
Mitglied: Vision2015
04.02.2015 um 17:18 Uhr
Tach@DerWoWusste,

echt geil... echt gut beschrieben...
du hast mir den tag heute gerettet, da ich nicht wusste was ich heute mit einem praktikanten machen sollte -
fiel mir dein artikel ein- ok... mit den worten " du arbeitest das jetzt mal ab- und heute nachmittag sehe ich mir das an"
habe ich fluchtartig das labor verlassen...
mittlerweile bin ich zurück, und zufrieden- klappt alles - kein lab server geschrottet, kein ap geschrottet...

Lg
V
Bitte warten ..
Mitglied: win-dozer
14.02.2015, aktualisiert um 22:58 Uhr
Zitat von Alchimedes:

danke fuer die Anleitung
Sie gefaellt mir sehr gut und ich hab mal unserem Abteilungsleiter-Winbloedmausschubser den Link geschickt.


@Alchimedes: Na dann hoffen wir das er nicht deinen Kommentar mit deiner Email verbindet und ein gutes Wort beim Chef einlegt ;)
Bitte warten ..
Mitglied: Cloudy
30.08.2016, aktualisiert um 15:32 Uhr
Zitat von DerWoWusste:
01.
@echo off 
02.
> set /p target=Auf welchen PC willst Du?: %=% 
03.
> for /f %%a in ('powershell \\server\share\GenerateRandomPassword.ps1') do net user admin%target% %%a /domain /active /workstations:%computername%,%target% & cmdkey /add:TERMSRV/%target% /user:netbiosdomainname\admin%target% /pass:%%a 
04.
> start mstsc /v:%target% 
05.
> pause 
06.
> net user admin%target% /active:no /domain

Danke für diese Anleitung, man könnte noch die Zeile 4 und 5 mittels "start /wait mstsc /v:%target%" etwas mehr automatisieren. Dadurch pausiert das Skript dort automatisch, bis mstsc geschlossen wurde (Entspricht einem "-Wait" in PowerShell).
Bitte warten ..
Ähnliche Inhalte
Sicherheit

Application Whitelisting - Umgang mit Systemdateien

Tipp von DerWoWussteSicherheit2 Kommentare

Es begab sich Ende letzter Woche, dass einem Sicherheitsspezi auffiel, dass eine Windowssystemkomponente (c:\windows\system32\regsvr32.exe) ihm bislang unbekannte Fähigkeiten hat: ...

Cloud-Dienste

BDrive: sichere Alternative der Bundesdruckerei zum Thema Cloudspeicher

Tipp von em-pieCloud-Dienste5 Kommentare

Guten Morgen zusammen, per Zufall bin ich gestern einmal im Rahmen meines CeBIT-Besuches über das Produktportfolio unserer (deutschen) Bundesdruckerei ...

Windows 10

Bund will Windows 10 über Bundesclient sicher nutzen können

Information von kaiand1Windows 1012 Kommentare

Zu Limux-Ende in München nun dies. Quelle Heise.de Um den Einsatz von Windows 10 rechtskonform und sicher zu gestalten, ...

Sicherheit

IT-Administrator Magazin: Ausgabe "Sichere IT-Systeme" ab sofort verfügbar

Information von FrankSicherheit

Täglich prasseln verschiedenste Angriffe auf die IT-Systeme von Unternehmen ein. Die breite Masse lässt sich zwar mit Standardmitteln wie ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 2 TagenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 2 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

Netzwerkmanagement
Netzwerkmanagment im Haus mit Switch, Panel und pfsense
gelöst Frage von CorraggiounoNetzwerkmanagement13 Kommentare

hi zusammen, wir sind gerade dabei das ganze Haus bzw. die einzelnen Zimmer mit netzwerkdosen zu versorgen. Vom Keller ...

Vmware
Server 2008 r2 vmware terminalserver
Frage von MasterCVmware12 Kommentare

Guten Abend zusammen, ich hoffe , dass einer von euch mir weiterhelfen kann ,bei meinem kack Problem ! Ist ...

Google Android
Empfehlung: Android Ortungsapp
gelöst Frage von certifiedit.netGoogle Android12 Kommentare

Guten Morgen, grundsätzlich vorweg, ich wollte mich eben schlau machen, bzgl einer Ortungsapp, welche Androidbasiert einem anderen Androidsmartphone mitteilt, ...