Passwort des lokalen Administrators verwalten
Mitarbeiter einer Firma kommen und gehen. Auch IT-Mitarbeiter, das ist in der Wirtschaft ganz normal. Sind Sie in einer führenden Position? Dann haben Sie sich sicher schon Gedanken über scheidende Mitarbeiter und deren Passwort-Kenntnisse gemacht. Wenn Ihre Antwort positiv ausfällt, werden Sie womöglich auch schon eine Lösung für die Problematik im Einsatz haben. Falls nicht, sollten Sie unbedingt weiterlesen.
Domänen Passwörter sind leicht zu ändern
Dass Passwörter erneuert werden sollten, darüber sind sich alle einig. Passwörter von Domänenkonten lassen sich leicht an zentraler Stelle ändern, wobei die Verwendung von Dienstkonten oft ein Hindernis darstellt. Aus Angst, dass verschiedenste Dienste oder Programme nicht mehr funktionieren, werden Dienstkonten oft jahrelang mit dem gleichen Passwort betrieben. Das Erzwingen der Passwortänderung für normale Anwender ist hingegen flächendeckend im Einsatz, auch wenn die Benutzer teilweise ihre Passwörter unter der Tastatur notieren und somit die Anstrengungen der IT zunichte machen.
Lokale Benutzer gibt’s ja auch noch!
Doch neben Konten einer ActiveDirectory Domäne existieren auch lokale Konten auf jedem Windows Rechner. Dieser hat mindestens einen «Administrator» und einen meist deaktivierten «Gast» vorkonfiguriert. Gut gemeint aber nicht wirklich sicher, ist das Umbenennen des lokalen Administrators, denn die SID dieses Benutzers ist bekannt und kann für Brute Force Attacken verwendet werden.
Des Weiteren haben Clients und Server oft das gleiche lokale Administrator Passwort, was eine erhebliche Sicherheitslücke darstellt. Bei einem Audit Ihrer IT Infrastruktur wird dies sicher zum Vorschein kommen. Dank Arellia können Sie diese Lücke bereits proaktiv schliessen. Haben Sie die lokalen Benutzer in Ihrer Umgebung unter Kontrolle?
Arellia Ansatz – jedem Computer ein eigenes Passwort
Mit der Arellia Local Security Solution haben Sie ein starkes Instrument zur Hand, welches Ihnen hilft, die lokalen Sicherheitseinstellungen zentral zu verwalten. Eine der Funktionen ermöglicht die automatisierte Änderung von lokalen Passwörtern. Wir zeigen Ihnen anhand der folgenden Schritte wie eine solche Implementation aussehen könnte.
Für die einzelnen Funktionen der «Local Security Solution» existieren sogenannte «Client Commands».
In unserem Falle packen wir das «Randomize Password Command» in eine Policy, definieren Benutzername und Passwort Regeln sowie Zeitplan und Zielrechner.
Das Kontextmenü eines beliebigen Rechners bietet direkt eine Funktion an, die verwalteten Benutzer anzuzeigen.
Über ein weiteres Kontextmenü von einem dieser Benutzer lässt sich das jeweils verwaltete Passwort im Klartext darstellen.
Dieses Fenster schliesst sich automatisch nach 10 Sekunden. Zusätzlich wird der Vorgang protokolliert und damit festgehalten, welcher Benutzer um welche Zeit das Passwort «aufgedeckt hat».
In einem entsprechenden Report finden sich anschliessend die protokollierten Vorgänge.
Arellia 8.0 ist im Sommer 2014 erschienen. Diese Version ist nicht mehr abhängig von Altiris und kann damit auch problemlos in Umgebungen mit SCCM oder LANDesk betrieben werden (Schnittstellen vorhanden).
FYRE Consulting AG ist exklusiver Arellia Partner in der Schweiz. Bringen Sie die lokalen Passwörter unter Ihre Kontrolle, so dass austretende Mitarbeiter kein Sicherheitsrisiko mehr darstellen. Kontaktieren Sie uns, wir beraten Sie gerne.