ComputerBase Menü
Aktuelles

Computerobjekt deaktivieren vs. löschen

[Wabbajack]

[Wabbajack]

Cadet 4th Year
Registriert
Jan. 2017
Beiträge
100
Hallo zusammen,
ich schmeiße mal folgende These in den Raum:

Ungepatchte Computerobjekte werden aus Sicherheitsgründen im AD deaktiviert, dies verhindert aber nicht die Offline-Anmeldung und z.b. eine spätere LAN-Verbindung oder VPN-Einwahl durch den User (oder einen Angreifer). Im Ergebnis kann dann mit einem ungepatchten und im AD deaktivierten Computerobjekt auf die Domäne zugegriffen werden.

Stimmt das? Kann trotz deaktiviertem Computerobjekt auf die Domäne zugegriffen werden. Dies würde ja bedeuten, dass das deaktivieren des Objekts bei längerer Abwesenheit eines MAs aus Sicht der IT-Sicherheit unter Umständen NICHT ausreichend ist. Wie handhabt ihr das? Welche Maßnahmen leitet ihr zusätzlich zur deaktivieren des Computerkontos ein?
 
Eine Möglichkeit wäre, die PCs durch ein NAC-System auszusperren.
 
Zuletzt bearbeitet: (Link eingefügt)
  • Gefällt mir
Reaktionen: [Wabbajack] und Phil_81
Ja, stimmt so... Der Client selbst kann halt keine Verbindung mehr zur Domäne herstellen, aber explizite Verbindungen im Userkontext gehen weiterhin.
 
Ja... Ist ja dann im Grunde nichts anderes, als wenn er kein Mitglied der Domäne wäre.

Ansonsten, probiers doch einfach mal aus bzw. stell das Szenario von oben nach.
 
Wenn es um den User geht, dann solltest du überlegen den User zu sperren nicht den Rechner. Geht der User an einen a deren Rechner kommt er ja mit den Credentials wieder an die Domaine.

Rechner zu sperren macht außerhalb eines echten MDM wenig Sinn, meiner Meinung nach.
 
Grundsätzlich deaktivieren wir bei längerer Abwesenheit eines MA sowohl Benutzer- als auch Computerkonto. Der Computer wird dann während der Nichtnutzung auch nicht gepatcht. Nun stellt ein Kollege aus der IT-Sicherheit die eingangs genannte These in den Raum, dass auch mit dem deaktivierten (und ungepatchten) Client eine Verbindung zur Domäne hergestellt werden könne. Ich wüsste aber nicht wie das möglich ist, da doch spätestens bei der Kerberos Authentifizierung Schluss sein müsste, selbst wenn sich ein anderer User mit aktivem Benutzerkonto an dem deaktivierten Client anmeldet.
 
Sind die User-Credentials noch am Client gecached, kann er sich trotzdem am Client anmelden... Das ist dann der Fall, den du im Eingangspost geschildert hast.

Ein User, der noch nicht an dem Client angemeldet war kann sich nicht dran anmelden, da eben das Computerkonto deaktiviert ist und somit keine Authentifizierung stattfinden kann.
 
  • Gefällt mir
Reaktionen: [Wabbajack] und kartoffelpü
Das leuchtet mir natürlich ein. Aber die Anmeldung über das gecachte Benutzerkonto ermöglicht ja erstmal nur Zugriff auf lokale Ressourcen. Der Weg zur AD ist durch das deaktivierte Computerobjekt versperrt. Also aus Security-Sicht gibt es keinen Grund das Computerkonto zu löschen, um Zugriff auf die AD zu beschränken. Das deaktivieren des Computerobjekts reicht.
Richtig?
 
Ja, löschen oder deaktivieren des Objekts macht zumindest keinen Unterschied für das Szenario.
 
  • Gefällt mir
Reaktionen: iron_monkey und [Wabbajack]
[Wabbajack] schrieb:
Das leuchtet mir natürlich ein. Aber die Anmeldung über das gecachte Benutzerkonto ermöglicht ja erstmal nur Zugriff auf lokale Ressourcen. Der Weg zur AD ist durch das deaktivierte Computerobjekt versperrt. Also aus Security-Sicht gibt es keinen Grund das Computerkonto zu löschen, um Zugriff auf die AD zu beschränken. Das deaktivieren des Computerobjekts reicht.
Richtig?
Zum Vergrößern anklicken....
Jein, wie geschrieben - Aktionen, die explizit im Userkontext durchgeführt werden, können trotzdem ausgeführt werden.

Daher ist, wie von @tRITON schon erwähnt, das Sperren des Users ebenfalls noch in Betracht zu ziehen.

Oder noch besser, den Rechner ganz auszusperren - entweder via NAC oder diversen Endpoint-Lösungen, mit denen man dies auch bewerkstelligen kann.
 
  • Gefällt mir
Reaktionen: [Wabbajack]
Die Lösung mit dem NAC System wäre natürlich der Königsweg. Davon sind wir hier im Hause aber leider noch weit entfernt.

Wie gesagt - wir deaktivieren User und den dazugehörigen Client im gleichen Zuge. Ich kann jedoch nicht ausschließen, dass ein anderer User sich an diesem Client anmeldet. Ich hätte gedacht, dies sei zu vernachlässigen da der Client ja gesperrt ist. Aber wenn dann durch einen User trotzdem Zugriffe auf Domänenressourcen möglich sind, müssen wir das Thema neu betrachten.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

G
Fedora XFCE Autostart App deaktivieren?
Antworten
7
Aufrufe
322
Gregorie
G
H
net use wieder löschen bzw. Zugriff deaktivieren
Antworten
16
Aufrufe
1.815
haiflosse
H
h00bi
AzureAD Windows Hello PIN Zwang deaktivieren?
Antworten
9
Aufrufe
5.104
Lawnmower
Lawnmower
L
deaktivierte Autostart-Programme aus Liste löschen
2
Antworten
32
Aufrufe
5.025
muesli79
M
J
Samsungs Galerie: "Dieses Bild löschen" deaktivieren?
Antworten
3
Aufrufe
1.477
0x8100
0x8100
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz