Hallo Mathias,
ich möchte Dir einmal kurz schildern, wie die Sicherheit in unserem Netz gewährleistet wird:
Jeder „normale“ Domänen-Benutzer bekommt ein Homeshare als Laufwerk U: per VB-Skript gemapped. Darauf hat nur der entprechende User Zugriff und die Dom.Admins (wegen Backup usw.)
Es gibt noch weitere Laufwerke, jeweils abhängig von Standort und Gruppenmitgliedschaft.
Alle anderen Verzeichnisrechte werden über Gruppen gesteuert.
Als wichtigste Policies haben wir eine userpolicy, in der wir nicht Programme verbieten, sondern erlauben. (Eine Liste kann ich Dir gerne zukommen lassen).
Hier setzen wir auch folgende Einstellungen:
- Ausblenden von „Ausführen“
- Ausblenden von „Ausführen als“
- Es dürfen keine FQN’s im Explorer eingegeben werden ( BSP.: \server\freigabe$)
- InternetExplorer Einstellungen werden vorgegeben und dürfen nicht geändert werden.
Natürlich haben wir noch eine Adminpolicy, die die Userpol überschreibt
Wenn der ehemalige Admin nun ein normaler User ist, erreichst du, mit noch ein paar kleinen gimmicks mehr, eine relative Sicherheit auf Benutzerebene.
Jetzt musst Du noch die Clientseite betrachten:
Wir lassen nur Anmeldungen von Rechnern zu, die Mitglied der Domäne sind. Damit wirken auch die Dom. Policies. Du hast dann zwar Adminrechte auf der Maschine, aber nicht im Netz.
Jetzt muss sich der User komplett als anderer User neu anmelden, um die Laufwerke zu bekommen.
OK, ich weiss, dass sowas eine Menge Arbeit und Pflege bedeutet, da in unserem Netz aber verschiedene Firmen in unterschiedlichen Lokationen integriert sind, ist das unbedingt notwendig.
somit,
Vielleicht solltest Du über eine Policy verhindern, dass der
Menüeintrag Netzwerklaufwerk vebinden, überhaupt erscheint,
und dann alle Mappings per logon skript regeln.
Auf gut Deutsch heisst das dann, ich müsste auch dafür sorgen,
dass er den Befehl „NET USE“ nicht benutzen kann und sich auch
nicht an unserem Terminalserver als Benutzer 1 anmelden kann.
da nicht in userpolicy eingetragen, darf diese nicht ausgeführt werden
am TS anmelden schon, aber nicht gleichzeitig.
Warum kennt der eigentlich das Passwort der anderen Users ?
Das bedeutet dann, dass er kein DOS-Fenster öffnen kann, also
die Eingabeaufforderung nicht anzeigen lassen und auch die
Möglichkeit unter Start „Ausführen…“ aufzurufen unterbunden
werden muss. (DOS-Fenster kann hier mit CMD.exe aufgerufen
werden)
cmd.exe ist nicht erlaubt
Dann noch das Recht oder die Möglichkeit entziehen, sich am
Terminalserver anzumelden. Also möglicherweise Hyperterminal
und Remotedesktopverbindungen nicht anzeigen lassen.
Bei uns:
RDP ist nur admins erlaubt.
ICA (Citrix) darf jeder
MSTSC.EXE ist auch nicht in der Liste der erlaubten Programme
Wenn nun aber der Benutzer schlau ist, (was bei uns der Fall
ist, da wir auch ehemalige Administratoren als normale
Benutzer hier haben) kann er doch lokal auf seinem Rechner
nach den entsprechenden EXE-Dateien suchen und über diese die
Eingabeaufforderung und/oder die Remotedesktop-Verbindung
benutzen.
Er kann alles mit den Programmen machen, ausser in der Domäne ausführen.
mstsc kann er ausführen, darf sich aber nicht an unseren Servern per RDP anmelden, sondern nur mit Citrix an den richtigen Terminalservern.
Also müssen die Dateien gelöscht werden, damit er sie nicht
finden kann. Was nun aber, wenn er von einem anderen Rechner
diese Dateien kopiert? Also das Recht nehmen, ausführbare
Dateien auf dem Rechner zu schreiben/kopieren…
Keine Datei muss gelöscht werden. Es hat ja je nach Berechtigung nur der eine, oder der andere User Zugriff, ausser auf gemeinsame Laufwerke.
Gruß
Peter