Garant 3 Geschrieben 17. September 2020 Melden Teilen Geschrieben 17. September 2020 Guten Morgen, wie sieht eure Umgebung zur Verwaltung vom Active-Directory aus? Nutzt ihr Sprungserver (Terminalserver?), haben die IT-Benutzer für den Sprungserver auch eigtl. Credentials oder werden die eigtl. User-Accoutns genommen und nur vom Sprungserver gibt es dann die entsprechenden Credentials zur Verwaltung vom AD bzw. einzelner Dienste? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 17. September 2020 Melden Teilen Geschrieben 17. September 2020 (bearbeitet) Wir haben im Laufe der Zeit einige Möglichkeiten genutzt. Den Begriff Sprungserver kannten wir nicht. Aber heute gibt es RSAT https://docs.microsoft.com/en-us/troubleshoot/windows-server/system-management-components/remote-server-administration-tools bearbeitet 17. September 2020 von lefg Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 17. September 2020 Melden Teilen Geschrieben 17. September 2020 1 hour ago, lefg said: Aber heute gibt es RSAT https://docs.microsoft.com/en-us/troubleshoot/windows-server/system-management-components/remote-server-administration-tools Hat aber nichts mit der Problematik der Credentials und einem Jump Server zu tun. Die Frage ist wo man RSAT nutzt. Auf dem eigenen Rechner, auf einem Sprung Server oder auf was ganz anderem (z.B. ein eigener Admin Rechner). Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 17. September 2020 Melden Teilen Geschrieben 17. September 2020 Ideal wäre der Admin-Rechner. Einfacher ist ein Jumpserver, auf dem man sich NICHT mit dem Work-Account anmeldet, sondern mit dem Admin. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 17. September 2020 Melden Teilen Geschrieben 17. September 2020 Bei dem ganzen Thema sollte man sich auch Credential Guard anschauen. Zitieren Link zu diesem Kommentar
falkebo 21 Geschrieben 17. September 2020 Melden Teilen Geschrieben 17. September 2020 (bearbeitet) Meine aktuell "sicherste" Umgebung habe ich für einen Kunden wie folgt aufgebaut: S2D Cluster welches in einer eigenen "Fabric" Domain bzw. Forest beheimatet ist. Auf dem Cluster laufen virtuelle Maschinen welche ebenfalls in der Fabric Domain beheimatet sind (WSUS, PKI, File, Mgmt, Gateway Server ODER AUCH Jumpserver genannt), diese haben nur den Zweck, Dienste und Ressourcen für den Betrieb der Fabric bereitzustellen. Die Fabric Domain ist mit Windows Server Baseline Templates gehärtet. Ebenfalls laufen auf dem Cluster Maschinen welche zur eigentlichen "Company" Domain bzw. Forest gehören, hier sind Applications Server, WSUS, PKI, Exchange, usw. beheimatet. Company Server und Client Netzwerk sind mit VLANs getrennt, sprich jegliche Kommunikation wird granular über die Firewall erlaubt. RDP z.B. ist prinzipiell aus dem Client Netzwerk nicht möglich. Eine Verbindung um die Fabric (und damit auch die Company) zu administrieren, ist nur über das Remote Desktop Gateway (HTTPS) auf den Management Server möglich. Die Verbindungen auf den Management Server via Gateway/Jumphost erfolgt über eine Sophos Firewall, diese lässt die Kommunikation nur zu, wenn der Sophos Endpoint auf dem Administrator PC einen grünen Status besitzt, sprich frei von Malware oder PUAs etc. ist. Für verschiedene Zwecke gibt es natürlich verschiedene Credentials, 2-Faktor für den Zugriff auf den Management Server ist aktuell im Gespräch. Da hängen natürlich noch viel mehr Details dran, hoffe das ich nicht zu unverständlich geschrieben habe. bearbeitet 17. September 2020 von falkebo 2 1 Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 Ist das "Shadow Principals"? https://secureidentity.se/msds-shadowprincipal/ Dies habe ich bisher bei keinem Kunden so gesehen. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 Moin, nicht ganz, aber sagen wir: dieselbe Sportart. Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 vor 4 Stunden schrieb Dukel: Dies habe ich bisher bei keinem Kunden so gesehen. Wir sind zwar keiner Deiner Kunden, aber bei uns könntest das sehen Sieht lustig aus - bei "whoami /groups" bin ich zeitgleich in den Domain Admins von 3 Domänen Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 vor 6 Minuten schrieb daabm: ..... bin ich zeitgleich in den Domain Admins von 3 Domänen <Spaß> Du Angeber!! </Spaß> Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.