Jump to content

Security für Admin-Accounts


Empfohlene Beiträge

vor 2 Stunden schrieb mwiederkehr:

Ich habe schon länger keine rechnung.zip.exe gesehen, die sofort alle erreichbaren Dateien zu verschlüsseln beginnt.

Ich könnte Dir ein paar Adressen aus jüngster Vergangenheit nennen, die genau diese Rechnung gesehen haben, aber dann müsste ich mir einen anderen Job suchen, vor allem in einer anderen Branche.

Link zu diesem Kommentar
vor 8 Stunden schrieb soulseeker:

ein Wust an service-accounts als Do-Admins, wo keiner mehr wusste, wozu die mal da waren.

 

Dagegen hilft nur striktes Identity Management und Review aller "ungeklärten" Accounts, bis sie weg sind. Wir sind dran, aber das ist auch ein größerer Act... Vor allem, wenn sich die Accounts sporadisch noch anmelden, keine Beschreibung haben und die in der Description händisch eingetragenen Ansprechpartner seit 8 Jahren nicht mehr im Unternehmen sind 🙈

vor 3 Stunden schrieb testperson:

 

Das ist rechnung.zip.exe auf Steroiden... Echt krasse Show :-)

Link zu diesem Kommentar

Also wenn man sich mit 24 KI generierten Leuten unterhält, bilde ich mir ein, dass man doch irgendwann auch mal was merkwürdig finden dürfte. Und der Aufwand das zu tun, dürfte aktuell doch eher auf absolut auf diesen Hack hinauslaufende Aktionen schließen lassen. Bis das im "normalen" Umfeld ankommt, wird weiterhin lieber per Mail oder so gearbeitet. Aus technischer Sicht ist das natürlich trotzdem _unheimlich_ (und) beeindruckend. 

Link zu diesem Kommentar
Am 2.2.2024 um 11:32 schrieb soulseeker:

Die Frage kommt jetzt vielleicht etwas plump daher, aber mich würde mal interessieren, wie es bei anderen Firmen/IT-Abteilungen so läuft, wenn es um das Thema Security geht.

Ich kann Dir nicht sagen was alles richtig ist, da gibt es hier viel bessere Experten als mich. Ich kann nur erzählen was ich gemacht habe, mit knapp 100 MA.

  • Aufteilung der Server in Tier 0 - 2. Zusätzlich habe ich innerhalb eines Tiers noch teilweise nach Funktionen getrennt.
  • Aus dieser Aufteilung ergeben sich dann die einzelnen Identitäten.
  • Domänenadmin wird ausschließlich zur Verwaltung der Domäne verwendet und darf sich auch sonst nirgendwo einloggen. Per GPO wird dieser automatisch von allen Workstations und Server entfernt. Natürlich auch nicht um einen Client in die Domäne aufzunehmen, entfernen, umzubenennen.
  • Der Domänenadmin und auch alle anderen Identitäten die besondere Berechtigungen haben ist es per GPO verboten sich per Netzwerk zu verbinden. Das gilt natürlich nur für die Geräte, VMs denen die Identität nicht zugewiesen wurde.
  • Den lokalen Adminaccounts ist es auch verboten sich per Netzwerk zu verbinden.
  • RDP, WinRM usw. ist per Windows-Firewall auf bestimmte Endpunkte beschränkt.
  • Schwachpunkt ist der Adminrechner, aber auf diesem gibt es kein Internet und auch keine Emails.
  • Telefon, Alarm, Feuer, Zugangssysteme usw. alles in separaten VLANs
  • Backup (geprüft und Wiederherstellung geübt) mehrfach online und offline.
  • Doku für den schlimmsten aller Notfälle.

Das Hantieren mit den unterschiedlichen Logins finde ich gar nicht schlimm. Es hilft aber ungemein, wenn man die Passwörter auswendig kennt. Sonst steht Du irgendwann im Keller und kannst nichts machen, weil dein bevorzugter Passwortsafe da nicht läuft.

 

Grüße und schönes Wochenende

Link zu diesem Kommentar
vor 2 Minuten schrieb wznutzer:
  • Aufteilung der Server in Tier 0 - 2. Zusätzlich habe ich innerhalb eines Tiers noch teilweise nach Funktionen getrennt.
  • Schwachpunkt ist der Adminrechner, aber auf diesem gibt es kein Internet und auch keine Emails.

 

Hast du pro Tier eigene Adminrechner / Sprungserver? oder einer für alle Tiers?

Sind die Adminrechner besonders abgesichert? 2FA? Credential Guard? Bitlocker? ...

Link zu diesem Kommentar
vor 12 Minuten schrieb Dukel:

Hast du pro Tier eigene Adminrechner / Sprungserver? oder einer für alle Tiers?

Sind die Adminrechner besonders abgesichert? 2FA? Credential Guard? Bitlocker? ...

Ein Adminrechner bzw. Jumphost, Credential Guard ist aktiv. Das ist auch tatsächlich ein Schwachpunkt, der evtl. die anderen Maßnahmen einstürzen lassen kann.

 

Überlegungen

  • Über eine ausgehende RDP-Verbindung (Sicherheitslücke) kann auf dem Adminrechner Code ausgeführt werden. Möglich, aber das Risiko einer Sicherheitslücke die alle Maßnahmen außer Kraft setzt, kann es immer geben.
  • Der Adminrechner nimmt kaum Verbindungen über das Netzwerk an oder nur von bestimmten Endpunkten aus ==> Windows-Firewall.
  • Muss der Adminrechner in der Domäne sein? Ich habe mich für ja entschieden, weil wenn der Adminrechner von der Domäne aus "übernommen" wird, ist es sowieso schon vorbei. Ich will ja den Adminrechner nicht vor der Domäne beschützen.
  • Kann jemand unberechtigter physischen Zugriff auf den Adminrechner haben, wenn nein, würde auch Bitlocker nichts bringen.
  • Applocker, hoffentlich so konfiguriert, dass die meisten Schwachstellen geschlossen sind:grin3:.
  • Wie noch könnte Code ausgeführt werden? PsExec (Sysinternals) nutzt Pipes über Port 139, 445. Braucht aber Credentials vom Rechner. Auch hier gilt, der lokale Admin geht nicht, aber natürlich der reguläre Adminuser (der natürlich keine Adminrechte hat). Also dürfen diese Credentials auf keinem anderen Gerät landen. Derzeit ist das organisatorisch. Die werden einfach nirgendwo anders eingegeben.

 

Link zu diesem Kommentar
vor 2 Stunden schrieb wznutzer:
  • Den lokalen Adminaccounts ist es auch verboten sich per Netzwerk zu verbinden.
  • RDP, WinRM usw. ist per Windows-Firewall auf bestimmte Endpunkte beschränkt.

 

An den 2 Punkten scheitern wir. Den ersten hatten wir - aber jetzt liegen die PW der Builtin Admins in einem zentralen Store (Cyberark), der die auch rotiert. Und da wir dafür derzeit keinen Reconcile-Account aus der Domäne nutzen, muß Cyberark sich mit den aktuellen Credentials remote verbinden dürfen :-( (Nicht mein Design, ich kann die Welt nicht alleine retten). Den zweiten würden wir gern machen, geht aber nicht, weil wir zu viel Bewegung in unseren Netzen haben und zu viele Menschen für unterschiedliche Teile der RDP-Zugriffskette verantwortlich sind. Wobei ich die Idee mal mitnehme und mit ein paar Menschen besprechen werde, weil das eigentlich ein QuickWin wäre.

 

Beim Rest Daumen weit hoch von mir. Für "nur" 100 MA hast Du da echt viel umgesetzt 👍

 

PS: Network Access haben wir auf AuthUsers belassen - das hätten wir nie eingefangen bekommen, wenn da per Default niemand drinsteht und jeder, der nen Service aufbauen will, sich darum auch noch kümmern darf...

  • Like 1
  • Danke 1
Link zu diesem Kommentar
Am 9.2.2024 um 15:45 schrieb wznutzer:

Ich kann nur erzählen was ich gemacht habe, mit knapp 100 MA.

 

Falls du unterfordert sein solltest, hier wären noch weitere Themen zum anknüpfen:

  • Supportete u. mit aktueller Firmware Netzwerkkomponenten
  • Sammeln (und auswerten) der Logs der Netzwerkkomponenten
  • Härten der Netzwerkkomponenten
  • Blick auf die Passwortrichtlinien werfen
  • Regelmäßiges wechseln der Admin- u. Service-User Passwörter (krbtgt nicht vergessen...)
  • Authentifizierungsrichtlinien für Service-User (FGPP)
  • Nicht benötigte SPNs entfernen
  • Umgebung auf AES128 umstellen (RC4 deaktivieren)
  • Beschränken der Berechtigungen zum Erstellen von Tasks
  • Schwachstellen-Management (und ja, das macht Arbeit ;) )
  • NTLM beschränken
  • HVCI (und auch aktuell halten)
  • Näheren Blick auf CIS u. STIGs werfen
  • Updatestand auf den Servern und Clients aktuell halten
  • Like 1
  • Danke 1
Link zu diesem Kommentar

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...