RainerZu 0 Geschrieben 24. Januar 2020 Melden Teilen Geschrieben 24. Januar 2020 (bearbeitet) Hallo zusammen, um einige Sachen per PowerShell zu kontrollieren, müsste ich Windows RM auf den Clients aktivieren. Ich habe bisher nur die Möglichkeit gefunden, gewisse IPs darauf zugreifen zu lassen. Ich stelle mir nun die Frage, ob man das noch weiter absichern kann? Per Zertifikat, durch "Zugriff nur von Benutzer X" oder ähnliches? bearbeitet 24. Januar 2020 von RainerZu Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 24. Januar 2020 Melden Teilen Geschrieben 24. Januar 2020 Ja dann beantworte Dir doch die Frage (Peek Preview: "Ja") Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 24. Januar 2020 Melden Teilen Geschrieben 24. Januar 2020 (bearbeitet) 1. winrm over https ist sehr empfehlenswert https://support.microsoft.com/en-us/help/2019527/how-to-configure-winrm-for-https 2. für jeden Client einen eigenen Admin-Account verwenden, um lateral movement vorzubeugen https://www.lastline.com/blog/lateral-movement-what-it-is-and-how-to-block-it/ 3. Powershell selbst solltest du unbedingt absichern - https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode/ - https://www.tenforums.com/tutorials/111654-enable-disable-windows-powershell-2-0-windows-10-a.html - es gibt etliche weitere, sehr zu empfehlende Möglichkeiten, bitte selbst googeln. bearbeitet 24. Januar 2020 von SandyB 1 Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 25. Januar 2020 Melden Teilen Geschrieben 25. Januar 2020 13 hours ago, SandyB said: 2. für jeden Client einen eigenen Admin-Account verwenden, um lateral movement vorzubeugen https://www.lastline.com/blog/lateral-movement-what-it-is-and-how-to-block-it/ Für jeden Client wäre übertrieben. Hier geht es eher darum für jede Zone (Clients, Servers, AD, DMZ) eigene Admin Accounts zu nutzen. Wenn man 1000 Clients hat bräuchte jeder Admin 1000 Client-Admin-User. Wenn man ein PAM (Privileged Account Management) nutzt kann man das umsetzen, aber manuell nicht. Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 26. Januar 2020 Melden Teilen Geschrieben 26. Januar 2020 (bearbeitet) Am 25.1.2020 um 11:52 schrieb Dukel: Wenn man 1000 Clients hat bräuchte jeder Admin 1000 Client-Admin-User. Mir würde sich der Magen drehen, wenn ein und derselbe Account auf 1000 Clients für administrative Aufgaben genutzt wird. Womöglich noch mit RDP und unrestricted Credentials. PAM ist für dieses Szenario m.E. ungeeignet bzw. überdimensioniert. bearbeitet 26. Januar 2020 von SandyB Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 27. Januar 2020 Melden Teilen Geschrieben 27. Januar 2020 Moin, Dafür dass du die Umgebung und die Anforderungen nicht kennst, lehnst du dich aber weit aus dem Fenster ... Zwischen "1 Account für alle" und "1000 separate Accounts" ist eine Menge Platz für ein angepasstes Konzept. Gruß, Nils Zitieren Link zu diesem Kommentar
RainerZu 0 Geschrieben 27. Januar 2020 Autor Melden Teilen Geschrieben 27. Januar 2020 (bearbeitet) Am 24.1.2020 um 22:41 schrieb SandyB: 1. winrm over https ist sehr empfehlenswert https://support.microsoft.com/en-us/help/2019527/how-to-configure-winrm-for-https 2. für jeden Client einen eigenen Admin-Account verwenden, um lateral movement vorzubeugen https://www.lastline.com/blog/lateral-movement-what-it-is-and-how-to-block-it/ 3. Powershell selbst solltest du unbedingt absichern - https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode/ - https://www.tenforums.com/tutorials/111654-enable-disable-windows-powershell-2-0-windows-10-a.html - es gibt etliche weitere, sehr zu empfehlende Möglichkeiten, bitte selbst googeln. Das sind sehr gute Hinweise, vielen Dank. Das Thema Powershell bzw. tiefere Windows-Administration ist noch recht neu für mich. Ich komme eher aus der Linux-Ecke ;) Zum Thema lateral movement bzw. Admin-Accounts nur für jede Zone.... wir sind gerade dabei das von MS vorgeschlagene Admin-Tiering umzusetzen. Die Clients bekommen tatsächlich (bzw haben schon) alle einen eigenen lokalen Account. Geplant ist, aber eventuell noch eine Umstellung auf LAPS. Die Domäne-Admins können nur auf der Tier0(Server) benutzt werden und Zugriffe sind auch nur aus der Tier0 zugelassen. Für Domäne-Beitritt gibt es einen speziellen Account. bearbeitet 27. Januar 2020 von RainerZu Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 27. Januar 2020 Melden Teilen Geschrieben 27. Januar 2020 Freut mich! Schau dir mal diese Seite zu WinRM an. https://attack.mitre.org/techniques/T1028/ Hier findest du eine Menge guter Links zu WinRM (Attacks, Mitigations). Bisher noch nicht zur Sprache gekommen ist Detection/ Monitoring. Da kein Schutz perfekt ist, kommt diesem Kapitel ebenfalls ein wichtige Rolle zu. (siehe auch die wieterführenden Links auf der Seite) Vielleicht beschreibst du mal ganz grob dein Netzwerk: Größe, wo ihr mit der Sicherheit hinwollt, etc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.