washington
Goto Top

Domain Client Funktionalität deaktivieren bzw. sabotieren

Hi,

stellt euch mal vor ihr wuerdet einen Domain Client "sabotieren" wollen, welche Dienste würdet Ihr blocken/deaktivieren
bzw welche Ports würdet Ihr blocken ( ja der User um den es geht hat admin rechte, er kann lediglich den Client NICHT aus der Domain entfernen ) um euch vom Rest der Domain zu separieren ?

Ich weiss, ein wenig um die Ecke gedacht aber so ist die aktuelle Situation eben.

Content-Key: 360264

Url: https://administrator.de/contentid/360264

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 08.01.2018 um 22:44:47 Uhr
Goto Top
Hallo,

warum sollte man das tun wollen? Was ist das Ziel dahinter? Nur den User blockieren? Entsprechende Rechte nehmen...oder Passwort ändern. Gut ist.

VG
Mitglied: BassFishFox
BassFishFox 08.01.2018 um 22:46:29 Uhr
Goto Top
Hallo,

Die Person haette bei uns keine (Admin)-Rechte mehr. Weder in der AD noch auf PC.

Was machst Du, wenn die Person bei dem Spiel, was Du "spielen" willst, besser ist? face-wink
Und bist Du auf der rechtlich sicheren Seite? Vermutlich nicht, weil sonst wuerdest Du so nicht fragen.

BFF
Mitglied: emeriks
emeriks 08.01.2018 aktualisiert um 22:48:43 Uhr
Goto Top
Hi,
Da ist also einen PC, welcher Domain Member ist. Und der Anwender an diesem PC hat ein Benutzerkonto mit Admin-Rechten. Und nun willst Du sichergehen, dass der Anwender sich nicht den Richtlinien der Domäne entziehen kann. Richtig? Falls ja: Warum fragst Du das dann nicht so?
Bist Du der Admin oder der betreffende Anwender?

Ich gehe mal von Admin aus. Falls doch Anwender, dann hat der Admin eben Pech gehabt. Vielleicht lernt er dadurch noch was. face-wink

er kann lediglich den Client NICHT aus der Domain entfernen
Erster Irrtum! Er kann!

Admin-Lösung 1: Benutzer eben kein lokaler Admin
Wozu benötigt er lokale Admin-Rechte?

"Saboteur"-Lösung 1: Netzwerkkabel ziehen
"Saboteur"-Lösung 2: WLAN trennen
"Saboteur"-Lösung 3: TCP/IP-Konfiguration ändern (IP-Adresse, Gateway, DNS-Server)
"Saboteur"-Lösung 4: GPO-Dienst deaktivieren und alle bereits geladenen GPO's aus der Registry entfernen
"Saboteur"-Lösung 5: aus der Domäne austreten
"Saboteur"-Lösung 6: Allen anderen Admins den Zugriff verweigern
usw. usw.

Wenn das Konto Admin-Rechte hat, dann hilft nur Vertrauen. Wenn kein Vertrauen da ist, dann darf der Anwender auch kein Konto mit Admin-Rechten erhalten. Oder der Client nicht Mitglied der Domäne sein. Oder der Anwender trägt die volle Verantwortung für die Funktionalität des Clients.

E.

PS: Vielleicht hilft auch Beten. Oder "Abrakadabra".
Mitglied: falscher-sperrstatus
falscher-sperrstatus 08.01.2018 um 22:53:16 Uhr
Goto Top
Zitat von @emeriks:

Wenn das Konto Admin-Rechte hat, dann hilft nur Vertrauen. Wenn kein Vertrauen da ist,...

hat oftmals nichts mit Vertrauen zu tun. ICH arbeite auf meinen "Anwendungssystemen" auch nicht als Admin, weder auf den PCs, noch auf den Notebooks, noch in der ERP/CRM usw.
Mitglied: emeriks
emeriks 08.01.2018 um 23:46:20 Uhr
Goto Top
hat oftmals nichts mit Vertrauen zu tun.
Doch. Die Firma vertraut Dir.
ICH arbeite auf meinen "Anwendungssystemen" auch nicht als Admin, weder auf den PCs, noch auf den Notebooks, noch in der ERP/CRM usw.
Und damit wirst Du diesem Vertrauen gerecht.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 08.01.2018 um 23:48:44 Uhr
Goto Top
Zitat von @emeriks:

hat oftmals nichts mit Vertrauen zu tun.
Doch. Die Firma vertraut Dir.
ICH arbeite auf meinen "Anwendungssystemen" auch nicht als Admin, weder auf den PCs, noch auf den Notebooks, noch in der ERP/CRM usw.
Und damit wirst Du diesem Vertrauen gerecht.

Ich möchte ja nichts sagen, aber es ist meine Firma. Demnach hat das nichts vertrauen zu tun. Unter einem Administratoraccount arbeitet man nicht (und mit arbeiten meine ich alle Tätigkeiten, die nach ordentlicher Planung keine Administrativen Rechte benötigen.)

Demnach sind 9 von 10 meiner Kunden auch absolut einverstanden, wenn Sie nur mit beschränkten Rechten arbeiten. Der 10.te zahlt dann eben regelmäßig dafür, dass er sein System selbst an die Wand gefahren hat.
Mitglied: BassFishFox
BassFishFox 09.01.2018 um 00:23:05 Uhr
Goto Top
Halloele,

Nun schweift mal nicht soweit vom Thema ab. face-wink

Du @certifiedit.net arbeitest verantwortungsbewusst und deshalb kann sich z.B. @emeriks vertrauensvoll an Dich wenden. face-smile

Schoene Woche.
BFF
Mitglied: falscher-sperrstatus
falscher-sperrstatus 09.01.2018 um 00:35:57 Uhr
Goto Top
Das Thema ist leider nicht wirklich gegeben, da der TO sich verkrümelt hat.

Aber was wahr ist: Natürlich darf sich @emeriks, wie jeder mit einer Herausforderung gerne an mich wenden. (Bitte nicht falsch verstehen, in Form einer Zusammenarbeit/Beauftragung face-wink )

Nun aber: Gute Nacht.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.01.2018 um 06:05:33 Uhr
Goto Top
Moin,

Ich weiß ja nicht was für Spielchen ihr spielt, aber wenn derjenige Adminrechte hat, stehen ihm unendlich viele Möglichkeiten offfen.

Die würde ich dann allerdings mit Cat9 sehr schnell wieder einschränken.

lks
Mitglied: Vision2015
Vision2015 09.01.2018 um 07:12:14 Uhr
Goto Top
Moin....
Zitat von @Washington:

Hi,

stellt euch mal vor ihr wuerdet einen Domain Client "sabotieren" wollen, welche Dienste würdet Ihr blocken/deaktivieren
bzw welche Ports würdet Ihr blocken ( ja der User um den es geht hat admin rechte, er kann lediglich den Client NICHT aus der Domain entfernen ) um euch vom Rest der Domain zu separieren ?
ich habe bei der frage eher das gefühl, der TO möchte gerne "sabotieren" lernen....

Ich weiss, ein wenig um die Ecke gedacht aber so ist die aktuelle Situation eben.
glaube ich nicht!


Frank
Mitglied: departure69
departure69 09.01.2018 aktualisiert um 09:25:46 Uhr
Goto Top
@Vision2015:

Hallo.

ich habe bei der frage eher das gefühl, der TO möchte gerne "sabotieren" lernen....

Den Eindruck hab' ich auch, ich glaube, er hat's einfach andersrum dargestellt, daß ein anderer der Bösewicht sei, dabei wollte er vielleicht nur Tipps für sich selbst. Ein Admin hätte die Frage anders gestellt und etwas mehr zur genaueren Umgebung mitgeteilt.

Und dummerweise reicht ihm das hier vielleicht schon:

"Saboteur"-Lösung 4: GPO-Dienst deaktivieren und alle bereits geladenen GPO's aus der Registry entfernen


Viele Grüße

von

departure69
Mitglied: Penny.Cilin
Penny.Cilin 09.01.2018 um 10:18:29 Uhr
Goto Top
Hallo,

fällt das nicht Regel Nr. 5: Verbotene Inhalte?

Entschuldigt, aber ich finde diese Frage hier im Forum falsch.

Gruss Penny
Mitglied: departure69
departure69 09.01.2018 um 10:28:08 Uhr
Goto Top
Zitat von @Penny.Cilin:

Hallo,

Hallo.



Erstmal nicht, meine ich. Der TE hat das ganze ja so dargestellt, als ginge es um jemand, den er an Saboteurstätigkeit hinsichtlich eines Domänen-PC hindern will. Und er hat auch nicht nach Hacktools oder PWD zurücksetzen gefragt.

Wir bzw. ich haben ja bloß obendraufspekuliert, daß er selbst derjenige ist, der Tipps dazu für sich will. Wir wissen es nicht. Der TE ist auch noch registriert, meldet sich aber in seinem eigenen Thread nicht mehr. Wir wissen also gar nichts, Und wenn der TE sich nicht nochmal meldet, wird es dabei wohl auch bleiben.

Entschuldigt, aber ich finde diese Frage hier im Forum falsch.

Zumindest grenzwertig.


Gruss Penny


Viele Grüße

von

departure69
Mitglied: Penny.Cilin
Penny.Cilin 09.01.2018 um 10:43:51 Uhr
Goto Top
@departure69
kann man so auch sehen, so hatte ich es nicht auf dem Radar. face-smile
Wie Du schon schreibst, ist die Frage meiner Meinung nach sehr grenzwertig.face-confused

Gruss Penny
Mitglied: Washington
Washington 09.01.2018 um 17:03:31 Uhr
Goto Top
Es ist schon sehr befremdlich wenn man hier eine frage stellt und dann dinge unterstellt bekommt ohne das man denjenigen ueberhaupt kennt.
Mitglied: Washington
Washington 09.01.2018 um 17:06:18 Uhr
Goto Top
Zitat von @emeriks:

Hi,
Da ist also einen PC, welcher Domain Member ist. Und der Anwender an diesem PC hat ein Benutzerkonto mit Admin-Rechten. Und nun willst Du sichergehen, dass der Anwender sich nicht den Richtlinien der Domäne entziehen kann. Richtig?

Exakt so ist es.

er kann lediglich den Client NICHT aus der Domain entfernen
Erster Irrtum! Er kann!

er kann, dies wuerde aber sofor auffallen, es geht eher darum was man schleichend tun kann.


Admin-Lösung 1: Benutzer eben kein lokaler Admin
Wozu benötigt er lokale Admin-Rechte?

Politische Probleme - mir muss niemand sagen das ich hier anders handeln MÜSSTE, aber es ist eben nicht unsere Firma.


"Saboteur"-Lösung 4: GPO-Dienst deaktivieren und alle bereits geladenen GPO's aus der Registry entfernen

Das sehe ich als sehr wahrscheinlich an. was genau müsste derjenige tun ?
Mitglied: emeriks
emeriks 09.01.2018 aktualisiert um 17:17:02 Uhr
Goto Top
ohne das man denjenigen ueberhaupt kennt.
Eben. Es ist Deine erste Frage unter diesem Namen.

Melde mich beim BMW-Forum an und Frage gleich als erstes:
Also nur mal theoretisch. Wenn mein/e Frau/Mann, welche/n ich das Auto fahren lassen muss, das Auto sabotieren würde wollen, wie müsste man da vorgehen um das zu verhindern? Was müsste man alles verhindern?
Antworten dann wie
Er/Sie könnte den Bremsschlauch anschneiden. Das geht ganz einfach. Nimm einfach ...

Oder wie?
Ein bisschen paranoid sind wir hier alle. Aber nur ein bisschen ....
Mitglied: emeriks
emeriks 09.01.2018 aktualisiert um 17:17:15 Uhr
Goto Top
Das sehe ich als sehr wahrscheinlich an. was genau müsste derjenige tun ?
Wenn man davon ausgeht, dass das nur jemand ist, der sich auzukennen glaubt, aber es nicht wirklich drauf hat, dann könnte man mit Gegenmaßnahmen dafür sorgen, dass der Dienst immer wieder aktiviert wird.
z.B.
Man hinterlegt ein Script, welches über HKLM oder HKCU Run restartet wird.
Oder über die lokale GPO als Startup-Script.
Oder einen Scheduled Task, welchen man etwas tiefer im Namespace "versteckt", sodass dieser nicht gleich oben in der "Aufgabenplanung" erscheint, welcher diesen Dienst wieder restauriert.
Oder man schreibt einen kleinen Dienst, welcher dies tut.
Man könnte auch Überwachungen einrichten und bei bestimmten Events sofort eine Mail senden lassen.
Viele Wege führen nach Rumänien.
Mitglied: emeriks
emeriks 09.01.2018 um 17:18:25 Uhr
Goto Top
er kann, dies wuerde aber sofor auffallen, es geht eher darum was man schleichend tun kann.
Sofort? Wie denn? Da müsste man schon ständig das "LastLogon" dieses Computerobjekts abfragen.
Mitglied: Penny.Cilin
Penny.Cilin 09.01.2018 um 17:30:13 Uhr
Goto Top
Hallo,

nixx für ungut, aber wenn man sich hier im Forum anmeldet und dann als erste Frage eine solche grenzwertige stellt, kommen solche Reaktionen zustande.

Wobei man hätte die Frage auch anders formulieren können besser formuliert hätte, dann wäre der Hintergrund ein anderer.
Das heißt der Fokus und der Kontext ist ein anderer.

Gruss Penny
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.01.2018 um 17:34:46 Uhr
Goto Top
Zitat von @Washington:

Es ist schon sehr befremdlich wenn man hier eine frage stellt und dann dinge unterstellt bekommt ohne das man denjenigen ueberhaupt kennt.

Och, wir haben da unsere Erfahrung. Umso besser, wenn es nicht so ist. face-smile

Aber als erfahrener Admin muß man immer alle Eventualitäten abwägen, bevor man eine kritische Information herausgibt.

lks

PS: Das mti dem Cat9 solltest Du ernsthaft überlegen.
Mitglied: Penny.Cilin
Penny.Cilin 09.01.2018 um 18:45:05 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Washington:

Es ist schon sehr befremdlich wenn man hier eine frage stellt und dann dinge unterstellt bekommt ohne das man denjenigen ueberhaupt kennt.

Och, wir haben da unsere Erfahrung. Umso besser, wenn es nicht so ist. face-smile

Aber als erfahrener Admin muß man immer alle Eventualitäten abwägen, bevor man eine kritische Information herausgibt.

lks

PS: Das mti dem Cat9 solltest Du ernsthaft überlegen.
Noch kein Update auf Cat12a? face-wink
Tut mehr weh...

Gruss Penny
Mitglied: Mitchell
Mitchell 09.01.2018 um 21:10:45 Uhr
Goto Top
ich würde mal sagen, damit ist die Neujahrsfrage auch durch. Viel Spaß noch im Jahr 2018 und schauen wir mal, was noch kommt face-smile

Mfg
Mitchell

PS: Falls es nicht klar ist...>>> Papierkorb