Th0mKa Geschrieben 8. September 2021 Geschrieben 8. September 2021 vor 3 Minuten schrieb DerHarte: Hab mich da falsch ausgedrückt. Ich meine das Passwort für den Domänenadministrator. Ich bleibe dabei, das man das Passwort über das Telefon weitergibt ist eher eines der kleinen Probleme. Die erste Frage die ich mir stelle ist „Woher kennt der das Passwort und warum zur Hölle benutzt er keinen personalisierten Adminaccount?“. Zitieren
DerHarte Geschrieben 8. September 2021 Autor Geschrieben 8. September 2021 Gerade eben schrieb Th0mKa: Ich bleibe dabei, das man das Passwort über das Telefon weitergibt ist eher eines der kleinen Probleme. Die erste Frage die ich mir stelle ist „Woher kennt der das Passwort und warum zur Hölle benutzt er keinen personalisierten Adminaccount?“. Klar per Telefon weitergeben ist kein Problem, aber an einen normalen Mitarbeiter der nichts mit der IT zu tun hat? Möchte ungern, dass irgendein Mitarbeiter auf dem Fileserver oder sonst wo rumturnt. Er kennt das Passwort weil das alle Administratoren haben. Zweiteres: Tiered Administration ist ein Thema, aber erstmal führen wir 2FA ein. Zu viele offene Themen, um alles gleichzeitig zu machen. Zitieren
Th0mKa Geschrieben 8. September 2021 Geschrieben 8. September 2021 vor 13 Minuten schrieb DerHarte: Klar per Telefon weitergeben ist kein Problem, aber an einen normalen Mitarbeiter der nichts mit der IT zu tun hat? Möchte ungern, dass irgendein Mitarbeiter auf dem Fileserver oder sonst wo rumturnt. Natürlich ist das ein Problem, aber das er das überhaupt kann ist ein viel größeres Problem. vor 14 Minuten schrieb DerHarte: Er kennt das Passwort weil das alle Administratoren haben. Denn genau das ist das Problem. vor 14 Minuten schrieb DerHarte: Zweiteres: Tiered Administration ist ein Thema, aber erstmal führen wir 2FA ein. Zu viele offene Themen, um alles gleichzeitig zu machen. Für jeden Administrator ein personalisiertes Adminkonto anzulegen sollte in weniger als einem Tag zu erledigen sein. Es kann ja erstmal die rechte des Domain Admins haben, aber dann weiß man bei Logauswertung immerhin wer etwas gemacht hat. Bitschnipser und Thanks-and-Goodbye reagierten darauf 2 Zitieren
Thanks-and-Goodbye Geschrieben 8. September 2021 Geschrieben 8. September 2021 Ganz abgesehen davon, dass man den Administrator-Account wirklich nicht verwendet: hier wäre zu prüfen, ob nicht ein meldepflichtiger Datenschutzverstoss vorliegt. Der Anwender hat mit diesem Account Zugriff auf alle Ressourcen (bzw. kann sie sich mit diesem Account verschaffen) - unter anderem auch auf besonders schützenswürdige personenbezogene Daten (beispielsweise Daten der HR). allesweg, Bitschnipser und niklas1893 reagierten darauf 1 2 Zitieren
DerHarte Geschrieben 8. September 2021 Autor Geschrieben 8. September 2021 vor einer Stunde schrieb Th0mKa: Natürlich ist das ein Problem, aber das er das überhaupt kann ist ein viel größeres Problem. Denn genau das ist das Problem. Für jeden Administrator ein personalisiertes Adminkonto anzulegen sollte in weniger als einem Tag zu erledigen sein. Es kann ja erstmal die rechte des Domain Admins haben, aber dann weiß man bei Logauswertung immerhin wer etwas gemacht hat. Da gebe ich dir auch Recht. Aber wenn die Antwort: "Das war schon immer so" und "ist so historisch gewachsen" ist. Dann rennt man halt schnell gegen eine Wand. Ich habe aber schon viele Dinge geändert und werde das weiter tun. Personalisierte Admin-Kontos waren wie gesagt auch schon geplant. Eine Frage habe ich aber an dich: Wie macht ihr das mit RDP-Managern? Welcher Benutzer wird hier hinterlegt? Ein eigenständiger für diesen Dienst? Also admin.rdpmanager der kompletten Zugriff hat? vor einer Stunde schrieb Chief Wiggum: Ganz abgesehen davon, dass man den Administrator-Account wirklich nicht verwendet: hier wäre zu prüfen, ob nicht ein meldepflichtiger Datenschutzverstoss vorliegt. Der Anwender hat mit diesem Account Zugriff auf alle Ressourcen (bzw. kann sie sich mit diesem Account verschaffen) - unter anderem auch auf besonders schützenswürdige personenbezogene Daten (beispielsweise Daten der HR). Richtig. Zugriff auf Personalakten, Gehaltslisten und sehr viele andere kritische Daten. Er koordiniert aber ja auch den Datenschutzbeauftragten. Von daher passt das. Mir ging es auch nur darum, um zu verstehen warum man sowas macht. Ich kann mir das nicht erklären. In meiner letzten Firma wäre das ein Kündigungsgrund gewesen. Oder zumindest eine Abmahnung. Zitieren
allesweg Geschrieben 9. September 2021 Geschrieben 9. September 2021 vor 11 Stunden schrieb DerHarte: Er koordiniert aber ja auch den Datenschutzbeauftragten. Von daher passt das. Ich rate zu einer Grundlagenschulung Datenschutz. niklas1893, Bitschnipser und OkiDoki reagierten darauf 2 1 Zitieren
OkiDoki Geschrieben 9. September 2021 Geschrieben 9. September 2021 vor 11 Stunden schrieb DerHarte: Richtig. Zugriff auf Personalakten, Gehaltslisten und sehr viele andere kritische Daten. Er koordiniert aber ja auch den Datenschutzbeauftragten. Von daher passt das. Die Aussage bzw. Einstellung finde ich fast genauso schlimm wie die Weitergabe des Passworts ... Zitieren
Th0mKa Geschrieben 9. September 2021 Geschrieben 9. September 2021 vor 11 Stunden schrieb DerHarte: Eine Frage habe ich aber an dich: Wie macht ihr das mit RDP-Managern? Welcher Benutzer wird hier hinterlegt? Ein eigenständiger für diesen Dienst? Also admin.rdpmanager der kompletten Zugriff hat? Nein, auch dort wird jeweils der eigene administrative Nutzer benutzt. Und das Passwort wird idealerweise auch nicht gespeichert. Zitieren
allesweg Geschrieben 9. September 2021 Geschrieben 9. September 2021 Kurz am Rande: bei einem meiner Arbeitgeber erhielt ich für zwingend mit lokalem Admin-Account auszuführende Tätigkeiten wie Sonder-Installationen ein Kurzzeit-Passwort für den auf mich personalisierten lokalen Admin meines Geräts. Und jedes Setup, welches häufiger durchgeführt werden musste, wurde paketiert. Zitieren
Kwaiken Geschrieben 12. September 2021 Geschrieben 12. September 2021 (bearbeitet) Am 8.9.2021 um 19:39 schrieb DerHarte: Mir ging es auch nur darum, um zu verstehen warum man sowas macht. Ich kann mir das nicht erklären. Menschen sind von Natur aus faul und suchen sich den Weg des geringsten Widerstands. Wenn eine Firma irgendwelche neuen Compliance-Prozesse ersinnt, die nicht praktikabel sind und die Leute beim Arbeiten behindern, wird immer ein Weg gefunden, um sie herum zu manövrieren, was den neuen, ach so tollen Prozess komplett ad absurdum führt. Das gilt vor allem bei solchen sensiblen Dingen wie Kennwörtern. Daher ist auch u. a. Zero Trust grundsätzlich, Passwordless und Device Trust samt MFA individuell the new cools Kids on the Block. Wenn es für die Mitarbeiter einfacher gemacht wird, den sicheren Prozess einzuhalten, als sich das Admin-Kennwort zu beschaffen (z. B. Break Glass Adminkennwort in zwei Teile geteilt, die bei jeweils einer Person im Safe sind und welche beide zusammen eingeben müssen im Vergleich zu Paswordless + Device Trust + Fingerprint), siegt immer die Faulheit und der Prozess wird automatisch eingehalten. Ist das nicht der Fall, muss der Prozess überarbeitet werden. Bearbeitet 12. September 2021 von Kwaiken 0x00, niklas1893, allesweg und 2 Weitere reagierten darauf 5 Zitieren
DerHarte Geschrieben 18. Dezember 2021 Autor Geschrieben 18. Dezember 2021 Ich möchte mal ein Update zu der Situation geben: Ich habe zuletzt ein Gespräch mit meinen Vorgesetzten geführt und einige offene und auch kritische Fragen gestellt. Aus den Antworten kann ich herauslesen, dass er oder auch allgemein das Management keine wirkliche Planung bezüglich der IT hat. Vor zwei Monaten wurde ich vom HR gefragt wer meine Vertretung ist. Meine Antwort: "Ich hätte schon gern eine. Die ganzen Nacharbeiten nach dem Urlaub etc. sind anstrengend." Ich habe angeboten eine Stellenanzeige zu schreiben, wurde auch für gut befunden. Auch von meinem Vorgesetzten. 2-3 Monate ist man mit der IT auch so zufrieden. Obwohl er selbst sagt dass die IT am Limit ist. Gleichzeitig sollen immer mehr Systeme eingeführt werden wie z. B. Lernplattformen um die Mitarbeiter zu schulen. Auch Sicherheitsschulungen sollen vorbereitet werden. Die Großprojekte wie VOIP oder ERP auslagern mal völlig davon losgelöst einfach zu viel. Da der einige Kollege der nichts kann (mir konnte bis heute keiner sagen was er kann. Vorstellungsgespräch und Lebenslauf gab es nicht) zuletzt mal eine Steckdosenleiste im Serverraum gezogen hat und alles ausgefallen ist, wird nur weggelacht. Dann wurde ich über Linkedin angeschrieben und habe jetzt bald einen neuen AG. niklas1893, SoL_Psycho, 0x00 und 1 Weiterer reagierten darauf 4 Zitieren
SoL_Psycho Geschrieben 19. Dezember 2021 Geschrieben 19. Dezember 2021 Der letzte Absatz verdient mein Like Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.