17.08.2020
von Team modernX

Mehr Sicherheit durch "Local Admin Rights"

Die meisten Kunden sind schon auf dem richtigen Weg was die Berechtigungen ihrer IT-Landschaft angeht. Jedoch ist eine saubere Berechtigung ohne den klassischen „Domain Admin“ der sich in der Gruppe der lokalen Administratoren befindet noch nicht weit verbreitet.
Ersetzen Sie die Mitglieder der lokalen Administratoren durch eine von Ihnen definierte Gruppe, erhöhen Sie die Sicherheit und kontrollieren wer lokale administrative Berechtigungen auf Ihren System hat.
Seitens Microsoft sind alle Werkzeuge vorhanden, um das Thema mit kleinen Handgriffen umzusetzen und somit können die Mitglieder der „Domain Admin“ reduziert werden.

In diesem Blog Artikel möchten wir ihnen einem HowTo Artikel aufzeigen wie dies umsetzten können.

Anlage der Gruppen

Für die Umsetzung benötigen wir Zugriff auf die Gruppenrichtlinienverwaltung und die Active Directory. Mittels eins Skripts wird für jeden Server eine Active Directory Gruppe angelegt, diese wird wiederum mittels einer Gruppenrichtlinie auf den jeweiligen Server in die lokale Administratoren Gruppe verschachtelt.

Es empfiehlt sich hierfür innerhalb der Active Directory eine separate Organisationseinheit (OU) anzulegen in welcher alle „Local Adming Right“ Gruppen hinterlegt werden.

Wie in dem Screenshot zu sehen werden innerhalb der OU alle Gruppen angelegt. Die Anlage der Gruppen kann entweder händisch erfolgen oder per Skript. Wir haben für unsere Kunden ein Skript geschrieben, welches das ganze übernimmt.

Das Skript prüft eine bestimmte OU Struktur und erstellt die fehlenden Gruppen oder löscht nicht mehr benötigte Gruppen, falls der Computer Account nicht mehr vorhanden ist.

Es ist möglich das Skript manuell oder zum Beispiel als „geplante Aufgabe“ auszuführen, dieses kann beliebig oft geschehen.

Das Skript können Sie hier herunterladen

Zuweisen der Gruppen

Wir hinterlegen nun die erstellten Gruppen anhand von Variablen mit einer Gruppenrichtlinie unter "Computer Configuration\Preferences\Control Panel Settings\Local users and Groups"

Tipp

Sie können sich die Variablen anzeigen lassen, welche verwendet werden können. Hierzu müssen sie einfach F3 drücken, dadurch öffnet sich ein weiteres Fenster mit den verfügbaren Variablen.

Die Angabe erfolgt in unserem Beispiel mit „LocalAdmin_%ComputerName%“. Hierbei wird keine SID aufgelöst was kein Fehler oder Problem ist. Die SID wird erst aufgelöst, wenn die Gruppe von dem Computer angewendet wird.

Wichtig ist das die Gruppe bereit in der Active Directory vorhanden ist. Sollte das nicht der Fall sein kommt es zu einer Warnung innerhalb der Ereignisanzeige auf dem Computer, diese kann ignoriert werden.

Event ID: 4098
Source: Group Policy Local Users and Groups
Log Name: Application

Wichtig

Sollte man mehrere Gruppen hinterlegen, ist darauf zu achten das die Gruppe mit der Variable („LocalAdmin_%ComputerName%“) an der untersten Stelle steht! Denn sollte die Gruppe nicht aufgelöst werden können, wird die Verarbeitung für diesen Teil abgebrochen! Was zur Folge hat das die anderen Gruppen nicht angewendet werden.

Wenn man nun einige OU Gruppen ausnehmen möchte, kann man zusätzlich mit dem Item-level targeting arbeiten.

Damit ist es zum Beispiel möglich OU Gruppen aus zunehmen auf den man eine nicht so Granulate Berechtigung braucht. Beispiele für solche Anwendungsfälle sind Citrix VDA, RDSH, VDI oder Clients.

Tipp

Darüber hinaus lasst sich mit Item-level targeting eine Zentrale Gruppenrichtlinien bauen welche Local Admin Right für alle ihrer verschiedene Systeme vergibt.

Fazit

Mit einfachen Bordmitteln kann eine solide Berechtigungsstruktur aufbaut werden, welche wiederum flexibel auf fast alle Gegebenheit angepasst werden kann. Durch Group Policy Preferences und Item-level targeting sind fast alle Szenarien abdeckbar.

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
fe_typo_user	Ordnet Ihren Browser einer Session auf dem Server zu. Dies beeinflusst nur die Inhalte, die Sie sehen und wird von uns nicht ausgewertet oder weiterverarbeitet.	Session	HTTP	Website
_gcl_au	Wird von Google AdSense zum Experimentieren mit Werbungseffizienz auf Webseiten verwendet.	3 Monate	HTML	Google
AMP_TOKEN	Enthält einen Token, der verwendet werden kann, um eine Client-ID vom AMP-Client-ID-Dienst abzurufen.	1 Jahr	HTML	Google
_dc_gtm_--property-id--	Wird von DoubleClick (Google Tag Manager) verwendet, um die Besucher nach Alter, Geschlecht oder Interessen zu identifizieren.	2 Jahre	HTML	Google

Name	Zweck	Ablauf	Typ	Anbieter
_ga	Wird verwendet, um Benutzer zu unterscheiden.	2 Jahre	HTML	Google
_gat	Wird zum Drosseln der Anfragerate verwendet.	1 Tag	HTML	Google
_gid	Wird verwendet, um Benutzer zu unterscheiden.	1 Tag	HTML	Google
_ga_--container-id--	Speichert den aktuellen Sessionstatus.	2 Jahre	HTML	Google
_gac_--property-id--	Enthält Informationen zu Kampagnen für den Benutzer. Wenn Sie Ihr Google Analytics- und Ihr Google Ads Konto verknüpft haben, werden Elemente zur Effizienzmessung dieses Cookie lesen, sofern Sie dies nicht deaktivieren.	3 Monate	HTML	Google
_gaexp	Wird als Test gesetzt, um zu überprüfen, ob der Browser das Setzen von Cookies zulässt. Enthält keine Bezeichner.	3 Monate	HTML	Google
_opt_utmc	In diesem Cookie werden Informationen darüber gespeichert, welche Marketingkampagne ein Benutzer zuletzt auf die Website gelangt ist.	1 Tag	HTML	Google
_opt_awcid	Enthält eine zufällig generierte Benutzer-ID. Anhand dieser ID kann Google den Nutzer auf verschiedenen Websites erkennen und personalisierte Werbung anzeigen.	1 Tag	HTML	Google
_opt_awmid	Dieses Cookie wird gesetzt, wenn ein Nutzer die Website über einen Klick auf eine Google-Anzeige erreicht. Es enthält Informationen darüber, von wessen Kundenkonto die angeklickte Anzeige geschaltet wurde.	1 Tag	HTML	Google
_opt_awgid	Dieses Cookie wird gesetzt, wenn ein Nutzer die Website über einen Klick auf eine Google-Anzeige erreicht. Es enthält Informationen darüber, zu welcher Werbekampagne die angeklickte Anzeige gehört.	1 Tag	HTML	Google
_opt_awkid	Dieses Cookie wird gesetzt, wenn ein Nutzer die Website über einen Klick auf eine Google-Anzeige erreicht. Es enthält Informationen zu den Auswahlkriterien für die Platzierung der Anzeige, z. B. welches Keyword in Google eingegeben wurde.	1 Tag	HTML	Google

Name	Zweck	Ablauf	Typ	Anbieter
AnalyticsSyncHistory	Mit diesem Cookie wird der Zeitpunkt der Synchronisierung mit dem Cookie „lms_analytics“ bei Nutzern in den designierten Ländern gespeichert.	30 Tage	HTML	LinkedIn
UserMatchHistory	Mit diesem Cookie werden die IDs von LinkedIn Ads synchronisiert.	30 Tage	HTML	LinkedIn
bcookie	Dieses Cookie ist eine Browserkennung. Damit werden Geräte, die auf LinkedIn zugreifen, eindeutig identifiziert, um so eine missbräuchliche Verwendung der Plattform zu erkennen.	2 Jahre	HTML	LinkedIn
lang	Dieses Cookie merkt sich die Spracheinstellung eines Nutzers.	Session	HTML	LinkedIn
li_gc	Mit diesem Cookie wird die Einwilligung von Gästen zur Verwendung von nicht zwingend erforderlichen Cookies gespeichert.	2 Jahre	HTML	LinkedIn
li_mc	Dieses Cookie wird als temporärer Cache verwendet. Es dient dazu, Datenbankabfragen zur Einwilligung eines Nutzers in die Verwendung nicht zwingend erforderlicher Cookies zu vermeiden und diese Einwilligungsinformationen client-seitig verfügbar zu haben, um diese auf Client-Seite durchsetzen zu können.	2 Jahre	HTML	LinkedIn
liap	Dieses Cookie wird von Domains ohne den Zusatz „www“ verwendet, um den Login-Status eines Mitglieds anzuzeigen.	1 Jahr	HTML	LinkedIn
lidc	Dieses Cookie optimiert die Auswahl des Datenzentrums.	24 Stunden	HTML	LinkedIn
lissc	Mit diesem Cookie wird sichergestellt, dass alle Cookies in diesem Browser dasselbe SameSite-Attribut verwenden.	1 Jahr	HTML	LinkedIn
lms_ads	Mit diesem Cookie werden LinkedIn Mitglieder außerhalb von LinkedIn in den designierten Ländern zu Werbezwecken identifiziert.	1 Monat	HTML	LinkedIn
lms_analytics	Mit diesem Cookie werden LinkedIn Mitglieder in den designierten Ländern zu Analysezwecken identifiziert.	1 Monat	HTML	LinkedIn
JSESSIONID	Dieses Cookie wird zum Schutz vor CSRF (Cross-Site-Request-Forgery) verwendet.	Session	HTML	LinkedIn
bscookie	Dieses Cookie wird verwendet, um den Status der Zwei-Faktor-Authentifizierung eines eingeloggten Nutzers zu speichern.	2 Jahre	HTML	LinkedIn
li_at	Dieses Cookie dient der Authentifizierung von Mitgliedern und API-Clients.	1 Jahr	HTML	LinkedIn
li_rm	Dieses Cookie wird im Rahmen der LinkedIn Funktion zum Speichern von Login-Daten verwendet. Es wird gesetzt, wenn ein Nutzer auf seinem Gerät auf „Login speichern“ klickt. Dadurch wird das Einloggen auf diesem Gerät erleichtert.	1 Jahr	HTML	LinkedIn
_fbp	Speichert die eindeutige Besucher-ID.	28 Tage	HTML	facebook
facebookPixel	Wenn JavaScript nicht aktiviert ist, wird durch dieses Pixel eine Verbindung zu Facebook initiiert.	keine	Pixel	facebook
_hjFirstSeen	Dies wird gesetzt, um die erste Sitzung eines neuen Benutzers zu identifizieren. Er speichert einen true/false-Wert, der angibt, ob Hotjar diesen Benutzer zum ersten Mal gesehen hat. Er wird von Aufzeichnungsfiltern verwendet, um neue Benutzersitzungen zu identifizieren.	Session	HTML	Website
_hjTLDTest	Wenn das Hotjar-Skript ausgeführt wird, versuchen wir, den allgemeinsten Cookie-Pfad zu ermitteln, den wir anstelle des Hostnamens der Seite verwenden sollten. Dies geschieht, damit Cookies über Subdomains hinweg gemeinsam genutzt werden können (falls zutreffend). Um dies zu bestimmen, versuchen wir, das _hjTLDTest-Cookie für verschiedene URL-Teilstring-Alternativen zu speichern, bis es fehlschlägt. Nach dieser Prüfung wird das Cookie entfernt.	Session	HTML	Website
_hjid	Hotjar-Cookie, das gesetzt wird, wenn der Kunde zum ersten Mal auf einer Seite mit dem Hotjar-Skript landet. Es wird verwendet, um die Hotjar-Benutzer-ID, die für diese Seite eindeutig ist, im Browser zu speichern. Dadurch wird sichergestellt, dass das Verhalten bei nachfolgenden Besuchen der gleichen Seite der gleichen Benutzer-ID zugeordnet werden kann.	1 Jahre	HTML	Website