Zugriffsberechtigungskonzept für Windows Server

[don_stephano 0]

Hallo,

 

ich bin auf der Suche nach einen sinnvollen Konzept wie sich Admins auf einen oder unterschiedliche Windows Server 2016/2019 bewegen sollten?

Aktuell geht jeder mit dem Domain-Admin drauf, das sehe ich aber als riskant. Wäre es sinnvoll lokale Standard User Accounts auf dem Server zu definieren oder doch gleich die privilegierte Zugriffsverwaltung (PAM)?

[daabm 1.339]

https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material

Dom-Admins adminstrieren die Domäne - sonst NICHTS.

[don_stephano 0]

Hallo daabm,

danke für deinen Link. Diese Seite habe ich bereits gefunden und denke das ist zu overkill für uns (lass mich aber gerne in meiner Denkweise korrigieren). Wir betreiben nur eine kleine Domäne mit 2x DC, 1x PrintServer & 1x Wsus. Der rest geht alles über Linux Server Systeme.

Wir sind 2-3 Admins in einer 10 Köpfigen Abteilung welche sich ausschließlich auf den Windows Servern bewegen & Aufgaben erledigen (Administrative, Routineaufgaben, etc.)

Ich möchte eig. nur wissen ob man für die verschiedenen Aufgaben unterschiedliche BenutzerAccounts auf den Servern nutzen sollte oder doch alles über z.B. den Dom-Admin was ich wieder kritisch sehe.

Wenn versch. Accounts mit verschiedenen Berechtigungen, dann wäre für mich Interessant welche Accounts mit welchen Berechtigungen für welche Server.

 

[Sunny61 806]

Für einen WSUS und einen Printserver brauchst Du keinen Dom-Admin. So wenig wie möglich ist die Devise.

[Ebenezer 13]

Schau Dir mal insbesondere den ersten Link an - dort wird die Einführung eines Admin Tiers sehr anschaulich erklärt. In kleineren Netzen lässt sich das schnell umsetzen und ist kein "overkill"!

 

https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad-teil-3-admin-tiers/

 

https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/

 

https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad-teil-3-laps/

 

Mit die größte Gefahr sind m.E. Hashes eines Domänenadmin-Kontos auf einer Workstation. Wenn es hier ein Trojaner schafft lokaler Admin zu werden und die zwischengespeicherten Anmeldedaten eines Domänenadmin zur Authentifizierung benutzen kann (Mimikatz) dann ist die gesamte Domain verloren! Deshalb sollte man Domänenadmin-Konten nicht nur nicht auf Workstations verwenden sondern technisch dafür sorgen, dass Sie sich gar nicht erst anmelden / authentifizieren können.

[daabm 1.339]

Je kleiner die Umgebung, um so weniger Aufwand ist das Umsetzen der Tier-Trennung. Auf JEDEN Fall unterschiedliche Accounts für Dom-Admin, Member Server und Work-Client! Das kostat fast gar nix

Wir verrecken daran grad ein wenig, weil es zu viele Satelliten-Systeme gibt, die dann auch Tier-Trennung machen müßten - und das ist zu teuer und überhaupt...

[don_stephano 0]

Vielen Dank an Ebenezer & daabm.

frankysweb ist mir schon durch andere Themen vertraut ich ich werde mir die tech. Umsetzung anschauen & auch hoffentlich umgesetzt bekommen.

 

 

Am 29.11.2019 um 20:51 schrieb daabm:

Je kleiner die Umgebung, um so weniger Aufwand ist das Umsetzen der Tier-Trennung. Auf JEDEN Fall unterschiedliche Accounts für Dom-Admin, Member Server und Work-Client! Das kostat fast gar nix

Wir verrecken daran grad ein wenig, weil es zu viele Satelliten-Systeme gibt, die dann auch Tier-Trennung machen müßten - und das ist zu teuer und überhaupt...

Moin Moin,

was meinst du genau mit Satalliten-Systeme?

[daabm 1.339]

Satteliten-Systeme: Identity Management (Forefront/ITIM/Was auch immer), SCCM/Patchmanagement, Antivirus, Backup und und und... Wenn Du ESAE konsequent umsetzt, mußt Du das alles für Tier 0 noch mal separat aufbauen. Jedes System, das auf einem T0-System einen Agenten steuert, der mit Admin- oder Systemrechten läuft, ist automatisch auch ein T0-System.