al3x 11 Geschrieben 15. Mai 2019 Melden Teilen Geschrieben 15. Mai 2019 Hallo in die Runde. Mich würde mal interessieren wie euer Konzept für die Administration der Systeme aussieht, wie ihr sicherheitstechnisch eure Remote-Sessions realisiert!? Gerade in Bezug auf das Thema Pass-the-Hash bzw. Eingabe von Admin-PWs an einem x-beliebigen Client. Wir haben momentan folgendende Konstellation (fast) umgesetzt: Client-PCs (in Subnet A): Es existiert an jedem PC ein lokales Admin-Konto mit individuellem PW, umgesetzt mittels LAPS Admin-PCs (in Subnet A): =mit Software aufgebohrte StandardClients, die per RDP auf die Client-PCs (lok. Admin) können und auf den Admin-Server Admin-Server (in Subnet B): =Member-Server mit Windows Admin Center und den RSAT Jeder Admin meldet sich mit seinem Dom.User dort an und kann dann alle Server per WinAdminCenter oder nRemote (RDP) administrieren. LAPS ist natürlich nervig, wenn man unterwegs ist und sich mal eben lokal als Admin an einer Maschine anmelden will/muss. Bisher griffen die Admins jeweils von ihrem Arbeitsplatz-PC direkt per RDP auf die einzelnen Server zu. Was haltet ihr davon? Verbesserungsvorschläge? Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 15. Mai 2019 Melden Teilen Geschrieben 15. Mai 2019 Wieso Lokale Admins? Wir haben bei Kunden folgendes System eingeführt. 1. Mehr Zonen (Subnetze). Min. Client, Server und AD. Optional weitere Zonen wie eine Management, DMZ oder Entwicklerzone. 2. Neben einem "normalen User" gibt es pro Zonen einen Admin User (z.B. johndoe, adm_johndoe_client, adm_johndoe_server, adm_johndoe_ad). 3. Firewalltechnisch sind Zugriffe zwischen den Zonen eingeschränkt. Dienste dürfen z.B. von Client nach Server / AD genutzt werden, aber Logons von Server / AD Zonen nicht in die Client Zone. 4. In jeder Zone gibt es eine Admin Maschine / Admin-Terminalserver, von dem sich der Admin auf die Maschinen in der Zone einloggen kann, aber nicht in andere Zonen! 5. Die User sind in Gruppen organisiert und berechtigt. Z.b. Alle Server Admins sind in einer Server Admin Gruppe. Für einzelne Dienste (z.B. Backup Admin, ESX Admin, ... Admin) wird meist der Server-Admin genutzt. D.h. je nach Aufgabe hat ein Serveradmin Rechte auf einzelnen Applikationen und / oder einzelnen Servern. Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 15. Mai 2019 Melden Teilen Geschrieben 15. Mai 2019 Moin, das ist immer eine Frage der Anforderungen und der Möglichkeiten. Ein Konzept mit dedizierten Admin-Workstations zur Absicherung von Admin-Anmeldungen kann Sinn ergeben, man muss aber immer definieren, welches Szenario man absichern will. Und die Prozesse müssen dazu passen. Bei Microsoft gibt es mittlerweile eine ganze Menge dazu, teils mit sehr detaillierten Vorschlägen, was man einschränken kann. Man mache sich aber nichts vor: Das ist sehr großer Aufwand. Wenn der dazu führt, dass die Admins sich dran vorbeimogeln, hat man wenig gewonnen. Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 16. Mai 2019 Melden Teilen Geschrieben 16. Mai 2019 Such mal nach ESAE bei Microsoft, und pick Dir da das raus, was sich finanziell und organisatorisch bei Euch umsetzen läßt. IMHO am wichtigsten ist die Tier-Trennung, ein DomAdmin meldet sich NIE an einem Client oder Member Server an. Bzw. Member Server geht, wenn der auch zu Tier 0 gehört und entsprechend abgesichert ist. Zitieren Link zu diesem Kommentar
al3x 11 Geschrieben 17. Mai 2019 Autor Melden Teilen Geschrieben 17. Mai 2019 vor 10 Stunden schrieb daabm: Such mal nach ESAE bei Microsoft, und pick Dir da das raus, was sich finanziell und organisatorisch bei Euch umsetzen läßt. IMHO am wichtigsten ist die Tier-Trennung, ein DomAdmin meldet sich NIE an einem Client oder Member Server an. Bzw. Member Server geht, wenn der auch zu Tier 0 gehört und entsprechend abgesichert ist. interessanter Artikel! Danke für euren Input! :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.