Jump to content

Adminhost, Jump-Server, PAW, oder SAW

michelo82

Von michelo82
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

michelo82 Rising Star

michelo82   12

Geschrieben
Geschrieben (bearbeitet)

Hallo zusammen,
Microsoft selbst empfiehlt ja die Nutzung dedizierter Maschinen für die administrative Verwaltung.
https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/privileged-access-workstations


Dazu existieren verschiedene Begrifflichkeiten um die Verwirrung komplett zu machen.

 

Wir haben uns für die Variante Admin-Host bzw. Jump-Host entschieden.
Jeder Admin hat seine eigene Server 2019 VM, die nicht Mitglied der Domäne ist, auf einem ESX.
Die VM wurde mit den Microsoft Security Baseline gehärtet.

 

Darin sind einige Tools und ein RDP-Manager. Auf diese Maschine wird per VMWware-Konsole zugegriffen.

 

Mich würde interessieren, wie ihr das umgesetzt habt bzw. damit arbeitet?
Spricht etwas dafür- bzw. dagegen, dass ein Adminhost nicht Mitglied der Domäne ist?

 

MfG

bleibt gesund!

bearbeitet von michelo82
NilsK Grand Master

NilsK   2.982

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

ist die ESX-Umgebung dieselbe, auf der auch die produktiven Maschinen laufen? Streng genommen wäre auch das eine Vermischung der Sicherheitsbereiche. Es gibt immer mal wieder Bugs im Hypervisor (egal welcher), die einen Übergriff aus der VM auf die Host-Ebene erlauben.

 

Das heißt nicht, dass dieser Aufbau ausscheidet. Das Risiko wäre aber zu bewerten und zu dokumentieren.

 

Gruß, Nils

 

bearbeitet von NilsK
michelo82 Rising Star

michelo82   12

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Diejenigen die auf die Adminmaschinen Zugriff haben, haben ebenso Zugriff auf die VMWare Umgebung - es ist der gleiche Personenkreis. Wir vertrauen uns.

Wird das Passwort bei RDP zwischengespeichert? Das spricht dann dagegen. Da bin ich mir aber gerade nicht sicher.

 

Ich habe bis jetzt noch nichts nachteiliges festgestellt, wenn die VM kein Domänenmitglied ist. Sinn war, dass die Maschine so immer autark betrieben werden kann, auch wenn die Domäne nicht verfügbar wäre (Disaster).

 

EDIT:

vor 6 Minuten schrieb NilsK:

ist die ESX-Umgebung dieselbe, auf der auch die produktiven Maschinen laufen?

Vorläufig ja. Da wir nicht die (zeitlichen) Ressourcen haben einen weiteren Host bereitzustellen. Aber das zu ändern, habe ich bereits im Hinterkopf.

 

Wenn man es ganz genau nimmt müsste ja nach dem PAW/SAW Prinzip, ein separater physicher Admin-PC in einem abgesperrten Raum stehen. Das ist nur im Alltag garnicht umzusetzen.

 

Ein dedizierte Admin-VM um überhaupt erstmal eine Trennung zur Office-Workstation zu schaffen, war ein wichtiger Schritt.

bearbeitet von michelo82
Dukel Grand Master

Dukel   461

Geschrieben
Geschrieben (bearbeitet)

Mit den gespeicherten Credentials (dafür macht man das ganze ja) lässt sich mit diversen Mitteln umgehen. Da gab es vor einiger Zeit auch einen guten iX Artikel darüber.

Es muss kein Physischer PC im abgesperrten Raum sein, es gibt andere Möglichkeiten, die ich vorhin sozusagen augezählt habe.

 

Für DR kann man Lokale User nutzen. Man sollte ein DR Konzept nicht mit einem Security Konzept mischen. Es können die gleichen Dinge genutzt werden, aber müssen nicht.

 

Ohne Domäne sind die Clients halt nicht gemanaged.

 

https://epaper.heise.de/download/archiv/c8adeb8cabfb/ix.16.12.044-050.pdf

https://epaper.heise.de/download/archiv/c8aded56c803/ix.16.12.052-057.pdf

bearbeitet von Dukel
michelo82 Rising Star

michelo82   12

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Ja richtig das DR-Konzept sollte da nicht vermischt werden. Aber stimmt, ein lokaler User könnte sich dennoch anmelden, auch bei einem Domänen-Mitglied.

Die Workstations haben kein Win10 Enterprise BS um Credentials Guard zu nutzen - das kann aber wiedderum auf den Adminhost, da es ein Server BS ist, genutzt werden.

bearbeitet von michelo82
Dukel Grand Master

Dukel   461

Geschrieben
Geschrieben

Mich würde der geteilte Zugriff via VMWare Konsole stören und eher via RDP (und entsprechende Maßnahmen treffen, dass die Credentials nicht gespeichert werden) auf die Maschine. Mit Domain Join können die Settings per Richtlinie zentral gesteuert werden.

NorbertFe Grand Master

NorbertFe   2.175

Geschrieben
Geschrieben (bearbeitet)
vor 43 Minuten schrieb michelo82:

Diejenigen die auf die Adminmaschinen Zugriff haben, haben ebenso Zugriff auf die VMWare Umgebung - es ist der gleiche Personenkreis. Wir vertrauen uns.

Das widerspricht aber etwas der Anforderung. Also entweder man trennt, oder man trennt nicht (und das betrifft genauso Out Of Band Zugriffe). Dann muss man aber auch deutlich weniger Aufwand betreiben. Ich bin dann bei Nils' Aussage, dass sowas die Forummöglichkeiten etwas überschreitet. ;)

bearbeitet von NorbertFe
NilsK Grand Master

NilsK   2.982

Geschrieben
Geschrieben

Moin,

 

Dass ihr einander vertraut, ist prima, aber darum geht es ja gerade nicht. Es geht um Angreifer.

 

Und was man "müsste", hängt entscheidend von den Umständen des einzelnen Unternehmens ab. Das ist das, was ich mit Planung meine.

 

Gruß, Nils

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...