Jump to content

Security für Admin-Accounts


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

vor 9 Stunden schrieb daabm:

Aus dem Alltag eines Umsetzungsveranstalters... Einführung von Tier-Trennung und Eliminieren von NTLM-Auth:

 

Du mußt jedem erst mal erklären, warum er jetzt ne Domain mit angeben muß.

Du mußt danach jedem auch erklären, daß es überhaupt verschiedene Domains gibt und warum das wichtig ist.

Danach erklärst Du dann den "Doppel-Tier-Leuten", warum sie jetzt 2 Accounts haben und mit denen jeweils andere Dinge können bzw. eben nicht können. Und warum das alles vom Arbeitsplatz aus gar nicht mehr geht.

 

Damit hast Du die Basics der Tier-Trennung aus Sicht "Admin-Accounts" beinahe durch - wenn man ignoriert, daß "eigentlich" auch alle Peripheriesysteme (Identity Management, Systems Management, Inventory Scanner etc.) getrennt aufgebaut werden müssen. Das bezahlt aber quasi niemand, da wirst Du Kompromisse eingehen müssen. Das Thema PAW ist damit auch noch ungelöst - wir haben's mit CyberArk gemacht. MFA ebenso.

 

Und gegen "verschlüsselt in der Ecke" hilft das auch nur bedingt. Im Kontext des Work-Accounts kann man halt immer alles verschlüsseln, auf das der Work-Account Schreibrechte hat.

 

Wenn Du (wie wir) gleichzeitig versuchst, NTLM loszuwerden, mußt Du dann jedem erklären, warum sein Adminserver jetzt nicht nur seine Zielserver erreichen muß, sondern auch ziemlich viele DCs. Und warum DNS-Aliase nicht mehr funktionieren. Und warum er plötzlich nicht mehr auf \\10.0.1.15\c$ kommt... ("Ging doch bisher immer")

Dann aktivierst Du LDAP Channel Binding und stellst fest, daß Deine Loadbalancer für LDAPS über Nacht unbrauchbar geworden sind, weil sie SSL terminieren.

 

Und dann merkst Du, daß die meisten MFP (Scan to Folder) zwar Kerberos unterstützen, aber daran sterben, wenn der Serviceaccount nicht im Realm der Domain ist. Und daß auch ganz viele Drittanbieter Kerberos "unterstützen", aber nur wenn alles in einem Realm liegt.

 

Daran stirbt übrigens sogar .NET - System.DirectoryServices.AccountManagement verträgt es nicht, wenn der ausführende Account aus einer trusted Domain kommt: https://github.com/dotnet/runtime/issues/95676. Und es stirbt auch, wenn GetAuthorizationGroups aufgerufen wird, der Zielaccount Mitglied von Gruppen ist, die ForeignSecurityPrincipals als weitere Mitglieder haben (warum das überhaupt geprüft wird, weiß nur MS) und der ausführende Account keine Leserechte auf die FSP-Objekte hat.

Citrix PVS hat auch ganz lustige Probleme mit Trusts. Die checken nämlich an bestimmten Stellen nicht "reale" Gruppenmitgliedschaften von Serviceaccounts, sondern schauen ins AD. Konkret mußte ein Serviceaccount aus einer trusted Domain dort (!) in eine domain local (!) Group... 🙈

 

Wenn Du dann noch aufgrund "organisatorischer Anforderungen" (= Management-Wünsche) disjoint Namespaces hast, dann hast Du jetzt richtig Spaß an der Sache 😁 Und bist für mehrere Jahre unentbehrlich .

 

Da fließt noch sehr viel Wasser ins Meer...

 

PS: Wir haben ~8.000 MA im Konzern.

Heilige F***krütze 😳

Link zu diesem Kommentar

Ach halt doch die Klappe 😂

Um wieder auf was fachliches zurückzukommen: Alleine die Quirks, die uns Kerberos beschert hat, reichen für ein Buch. Disjoint Namespaces, DNS-Aliase ohne Ende (damit jeder "seinen" persönlichen Namen ansprechen kann), Accounts aus unterschiedlichsten AD-Domains, die auf DNS-Namen in "irgendwelchen" DNS-Domains zugreifen wollen - Du wirst nicht fertig. Bis jeder erst mal verstanden hat, daß ein FQDN hinten eben kein Realm hat, sondern nur nen DNS-Namensraum - da kriegst schon Junge. Und geschätzt 1/2 unserer FQDNs enden nicht auf Kerberos-Realms (=AD-Domains), sondern nur auf DNS. So viele Mappings kannst gar nicht machen...

 

Und mit NTLM war das alles "gar kein Problem" 🙈

  • Haha 1
  • Traurig 1
Link zu diesem Kommentar
vor 20 Stunden schrieb soulseeker:

.... Bin mal gespannt, wohin das noch bei uns führt. 

Na in die Cloud

Sorry für die Polemik. ;) 

 

Die Systeme und deren Zusammenspiel wird komplexer. Das Personal ist nicht ausgebildeter, soll aber ansteigenden Anforderungen Herr werden. Meiner Meinung nach wird es wieder mehr hin zu gemanagten Systemen gehen.

Link zu diesem Kommentar

Das Marketing wirkt leider und ich sehe immer wieder Firmen, die lieber Geld für "AI-enhanced Cloud Security" oder "Managed Detection and Response" ausgeben als für organisatorische Massnahmen, obwohl letztere aus meiner Sicht mehr bringen würden. So trifft man immer noch Umgebungen an, in denen der Azubi sich als Domain-Admin auf dem Printserver einloggt, um im Internet nach Druckertreibern zu suchen. Oder Scripts per Taskplaner als Domain-Admin ausgeführt werden, aus für Benutzer schreibbaren Verzeichnissen. Aber man fühlt sich gut geschützt durch "360° Total Insight Premium Cloud Edition".

  • Haha 1
  • Traurig 1
Link zu diesem Kommentar
vor 40 Minuten schrieb mwiederkehr:

Das Marketing wirkt leider und ich sehe immer wieder Firmen, die lieber Geld für "AI-enhanced Cloud Security" oder "Managed Detection and Response" ausgeben als für organisatorische Massnahmen, obwohl letztere aus meiner Sicht mehr bringen würden. So trifft man immer noch Umgebungen an, in denen der Azubi sich als Domain-Admin auf dem Printserver einloggt, um im Internet nach Druckertreibern zu suchen. Oder Scripts per Taskplaner als Domain-Admin ausgeführt werden, aus für Benutzer schreibbaren Verzeichnissen. Aber man fühlt sich gut geschützt durch "360° Total Insight Premium Cloud Edition".

Werbung funktioniert, Gefahrenmeldungen werden ignoriert… :-|

Link zu diesem Kommentar

Wir nutzen tatsächlich schon diverse Cloud-Dienste, u.a. für "Next Gen" AV mit den Schlagwörtern "Managed Detection ... " und "AI blabla".  Da kann ich aber überhaupt nicht beurteilen, wie gut das tatsächlich funktioniert, da wir gleichzeitig auch die Edge-Security stark erhöht haben.

 

Zitat

So trifft man immer noch Umgebungen an, in denen der Azubi sich als Domain-Admin auf dem Printserver einloggt, um im Internet nach Druckertreibern zu suchen. Oder Scripts per Taskplaner als Domain-Admin ausgeführt werden,

sowas gab es hier auch jahrelang, auch ein Wust an service-accounts als Do-Admins, wo keiner mehr wusste, wozu die mal da waren.

Link zu diesem Kommentar
vor einer Stunde schrieb soulseeker:

Wir nutzen tatsächlich schon diverse Cloud-Dienste, u.a. für "Next Gen" AV mit den Schlagwörtern "Managed Detection ... " und "AI blabla".  Da kann ich aber überhaupt nicht beurteilen, wie gut das tatsächlich funktioniert, da wir gleichzeitig auch die Edge-Security stark erhöht haben.

Systeme mit Verhaltenserkennung funktionieren schon, wie es die Hersteller versprechen. "Client XY baut dauernd Verbindungen nach $bösesLand auf, das hat er bis jetzt noch nie gemacht, also Switchport deaktivieren und Admin informieren" ist technisch kein Problem. Nur ist das eigentlich zu spät und es entdeckt nur Wald-und-Wiesen-Angriffe. Die scheinen nicht mehr so lukrativ zu sein. Ich habe schon länger keine rechnung.zip.exe gesehen, die sofort alle erreichbaren Dateien zu verschlüsseln beginnt.

 

vor einer Stunde schrieb soulseeker:

sowas gab es hier auch jahrelang, auch ein Wust an service-accounts als Do-Admins, wo keiner mehr wusste, wozu die mal da waren.

Ja, solche Sachen sind leider sehr mühsam zum Aufräumen. Das will niemand anfassen und viele hoffen, es bis zur Pensionierung aussitzen zu können. :-)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...