tomcek

Ok, das heißt also, dass ich in dieser Umgebung spezielle Admin-Accounts anlege die ausschließlich auf die Server (Tier 0) zugreifen und denen es via Policy verboten wird auf alle anderen Clients (nicht Tier 0) zuzugreifen? In der Umgebung befindet sich u.a. noch ein Terminalserver für die 10 Mitarbeiter ... der sollte dann auch Nicht-Tier-0 sein, oder?

Hey Evgenij, vielen Dank für dein schnelles Feedback. Vom Konzept des Tiering habe ich schon gehört, umgesetzt habe ich es selbst aber noch nicht. Die Umgebung ist aber in der Tat aber auch so klein, dass Tiering hier ein ganz schöner Overkill wäre. Obwohl der Sicherheit wäre es natürlich zuträglich - da kann der Aufwand manchmal nicht hoch genug sein. Habe ich noch andere Möglichkeiten die Umgebung wenigstens ein bisschen zu härten?

Hallo in die Runde, ich habe eine kleine Umgebung mit 8 VMs zu betreuen auf denen jeweils ein Dienst läuft (inkl. Windows-AD). Dort läuft schon Duo-Security, um die Anmeldung via RDP, lokaler Konsole und die Elevation der Benutzerrechte mit einer MFA abzusichern. Ich frage mich jetzt, ob es vielleicht sinnvoll ist, die Gruppe der Domain-Admins (zwei Personen) generell aus der Gruppe der Administratoren zu schmeißen und nur noch den lokalen Administrator in dieser Gruppe zu belassen? Auf den Servern direkt muss in der Tat auch nicht viel gemacht werden. Ich habe damit den Gedanken, dass im Falle der Kompromittierung des ADs, wenigstens nicht noch die anderen VMs gekapert werden können oder ich zumindest das damit erschwere. Liege ich mit dem Gedanken damit richtig oder übersehe ich da etwas grundsätzlich? Wie geht ihr damit um? Vielen Dank vorab! VG, Tom