AD-Gruppe "protected Users" - welche Konten packt ihr rein, wer nutzt die Gruppe überhaupt?

[Marco31 33]

Hallo Forum,

 

man will es ja den potentiellen Angreifern so schwer wie möglich machen, dabei bin ich auf die Gruppe "protected Users" gestoßen. Hört sich für mich erst einmal so an, als wären da die Domänen- und Server-Admin-Konten gut aufgehoben. Interessant wäre jetzt natürlich, wer das einsetzt und welche Probleme dabei unter Umständen auftreten. 

Wäre für jeden Erfahrungsbericht dankbar

[cj_berlin 1.329]

Moin,

 

Probleme mit Protected Users treten immer dann auf, wenn

 

a. Sessions über 4h Dauer zwingend nötig sind (z.B. lang laufende Skripte)

b. NTLM und/oder RC4 verwendet werden muss, weil das Zielsystem nichts besseres beherrscht

c. Offline-Loginfähigkeit erwartet wird

 

Alle Konten, die irgendwie privilegiert sind, sind da gut aufgehoben, solange die oberen drei Fälle kein Problem darstellen.

EDIT: In allen drei Fällen gilt der Nebensatz ", aber dann hast Du ein anderes Problem, nämlich in Deinen Management-Prozessen"  Und ja, ich weiß, die Sätze "Geht nicht" und "Geht bei uns nicht" werden auf dem Grabstein jedes Consultants stehen.

[Marco31 33]

Ok, danke erstmal. Punkt a kann ich ausschließen, mit Ausnahme von langen Remotesessions bei Dienstleister-Einsatz... Zu Punkt b sind mir (derzeit) keine Anwendungen bekannt, das wird sich dann wohl zeigen... Und Punkt c wird dann zum Problem falls die DC's mal nicht verfügbar sind - hier sollte man sich dann also einen "Not-Admin" anlegen, der nur in diesem Fall benutzt wird... Oder lokaler Server-Admin, ggf mit LAPS.

Liege ich da soweit richtig?

[NilsK 2.957]

Moin,

 

"Full Ack" zu Evgenijs Darstellung.

 

Und ergänzend: Aus dem Gesagten folgt, dass das Konstrukt in den meisten Umgebungen nur für einen Teil der privilegierten Konten taugt. Das wiederum hat zur Folge, dass man in solchen Umgebungen die Privilegien gut auf Konten (bzw. eher: auf Rollen) aufteilen sollte, damit der Schutz funktionieren kann. In a nutshell: Wenn die Fälle a, b oder c aus Evgenijs Liste vorkommen, dann sollten diese nicht an Konten gebunden werden, die sonst auch sehr hohe Privilegien haben. Auf die Weise könnte man dann die Accounts, die a, b und c nicht brauchen, über die Gruppe schützen.

 

Ob das in einer bestimmten Umgebung umsetzbar ist, ist dann zu prüfen.

 

Gruß, Nils

 

bearbeitet 29. November 2023 von NilsK

[testperson 1.707]

Hi,

vor 40 Minuten schrieb Marco31:

Und Punkt c wird dann zum Problem falls die DC's mal nicht verfügbar sind

hier wäre es wohl "am einfachsten", die DCs so aufzustellen, dass einer immer verfügbar ist. Je nach vorhandener Infrastruktur zwei DCs in der virtualisierten Umgebung, einer direkt auf Blech und ein vierter an einem anderen Standort (Cloud, "Colocation", "Brandabschnitt", ...).

 

vor 42 Minuten schrieb Marco31:

Oder lokaler Server-Admin, ggf mit LAPS.

An die LAPS Kennwörter würdest du ohne verfügbaren Domain Controller nicht dran kommen. ;)

 

Gruß

Jan

[Marco31 33]

vor 29 Minuten schrieb testperson:

Hi,

hier wäre es wohl "am einfachsten", die DCs so aufzustellen, dass einer immer verfügbar ist. Je nach vorhandener Infrastruktur zwei DCs in der virtualisierten Umgebung, einer direkt auf Blech und ein vierter an einem anderen Standort (Cloud, "Colocation", "Brandabschnitt", ...).

 

Normalerweise ja, ich hatte aber vor einiger Zeit den Fall wo wirklich nichts mehr ging in Sachen DC - da hätte ich dann ein Problem gehabt. 

 

vor 29 Minuten schrieb testperson:

An die LAPS Kennwörter würdest du ohne verfügbaren Domain Controller nicht dran kommen. ;)

 

Gruß

Jan

 Verdammt, stimmt ja  Also doch "Notfall-Admin-Konto"

[NorbertFe 2.061]

vor 10 Minuten schrieb Marco31:

Also doch "Notfall-Admin-Konto"

Nennt sich DSRM Konto. Und das sollte man vermutlich nicht per LAPS managen lassen, wenn das drumherum nicht passt. Bei Hyper-V Hosts hat sich die Verwendung von LAPS auch schon ein- zweimal als hinderlich erwiesen, wenn man nix starten kann und erstmal ein Password Recovery durchführen darf in einer Situation, wo man das definitiv nicht benötigt. ;)

[NilsK 2.957]

Moin,

 

vor 2 Stunden schrieb Marco31:

ich hatte aber vor einiger Zeit den Fall wo wirklich nichts mehr ging in Sachen DC - da hätte ich dann ein Problem gehabt

 

wenn sowas auftritt, hast du sowieso ein Problem. Dann ist entweder die Umgebung in einem Zustand, in dem man gar nicht über "Protected Users" nachdenken muss, oder es ist ein Recovery-Fall, wo man auch nicht darüber nachdenken muss, weil nur noch der DSRM hilft, wie Norbert schon sagt.

 

Gruß, Nils

 

[daabm 1.366]

LAPS ist für Member Server schon ok. Naja, "brauchbar". Für DCs definitiv natürlich nicht, und für den DSRM-Admin auch nicht. Der ist ja für LAPS nicht sichtbar, da in der alten lokalen SAM der DCs (bzw. also deren Registry) verbuddelt. Lösung bei uns: Zentrale PW-Verwaltung (CyberArk). Die bringt dann auch gleich Checkout/Checkin/Reconcile und noch so ein paar Dinge mit, die bei LAPS alle fehlen.

 

Was aber alles mit Protected Users nichts zu tun hat

[NorbertFe 2.061]

vor 4 Minuten schrieb daabm:

Der ist ja für LAPS nicht sichtbar, da in der alten lokalen SAM der D

 

Na zumindest so sichtbar, dass er sie sichern kann. Ob er sie auch "verwaltet", wie die deutsche Beschreibung sagt, wär zu testen:

 

"Wenn Sie diese Einstellung aktivieren, wird das Kennwort des DSRM-Administratorkontos verwaltet und in Active Directory gesichert.

Das Aktivieren dieser Einstellung hat keine Auswirkungen, es sei denn, das verwaltete Gerät ist ein Domänencontroller, und die Kennwortverschlüsselung ist ebenfalls aktiviert."
 

 

[Marco31 33]

Da ich (leider) auch noch Server 2016 im Einsatz habe ist LAPS für die Server (noch) kein Thema - ich habe auch keine Lust das native LAPS UND das "alte" LAPS zu verwalten... Bei der überschaubaren Anzahl der Server kann man das auch "per Hand" umsetzen.

[NorbertFe 2.061]

vor 48 Minuten schrieb Marco31:

ich habe auch keine Lust das native LAPS UND das "alte" LAPS zu verwalten...

Naja, das geht "einfach automatisch" mehr oder weniger. ;) Allerdings ist das "alte" LAPS seitens MS inzwischen abgekündigt und läßt sich auch nicht mehr auf neueren OS installieren.

[daabm 1.366]

vor 22 Stunden schrieb NorbertFe:

Na zumindest so sichtbar, dass er sie sichern kann. Ob er sie auch "verwaltet", wie die deutsche Beschreibung sagt, wär zu testen:

 

Dann hätte ich mal besser die Klappe gehalten - wir haben uns das auf DCs nie angeschaut, weil da die Notfallkonten schon immer (anders) verwaltet waren.

[NorbertFe 2.061]

Bei der alten Version von LAPS bin ich mir sicher, dass die die DSRM Konten nicht angefaßt hat. Ich hatte mal einen Case, wo ständig das Domadminkennwort geändert wurde. :) Da war die CSE auch auf dem DC aktiv.

[daabm 1.366]

Ok, das paßt dann auch besser zu meiner Erinnerung Danke.