Jump to content

Domain-Admins oder lokaler Admin-Account?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo in die Runde,

 

ich habe eine kleine Umgebung mit 8 VMs zu betreuen auf denen jeweils ein Dienst läuft (inkl. Windows-AD). Dort läuft schon Duo-Security, um die Anmeldung via RDP, lokaler Konsole und die Elevation der Benutzerrechte mit einer MFA abzusichern. Ich frage mich jetzt, ob es vielleicht sinnvoll ist, die Gruppe der Domain-Admins (zwei Personen) generell aus der Gruppe der Administratoren zu schmeißen und nur noch den lokalen Administrator in dieser Gruppe zu belassen? Auf den Servern direkt muss in der Tat auch nicht viel gemacht werden. 

Ich habe damit den Gedanken, dass im Falle der Kompromittierung des ADs, wenigstens nicht noch die anderen VMs gekapert werden können oder ich zumindest das damit erschwere. Liege ich mit dem Gedanken damit richtig oder übersehe ich da etwas grundsätzlich? Wie geht ihr damit um?

 

Vielen Dank vorab!

 

VG, Tom

Link zu diesem Kommentar

Moin,

 

die Idee ist gut, der Gedanke ist aber andersherum und nicht weit genug. Wenn Dein AD gekapert wird, sind Member-Server sowieso dahin. 

 

Das beginnt aber in den seltensten Fällen beim AD selbst, meistens ist ein Member-System das Einstiegstor. Das heißt, Deine oberste Prämisse ist es nicht, die Member vor AD zu schützen, but eher die Admins vor den Membern zu schützen. Sprich: Es ist nicht wirklich schlimm, ein AD-Account als lokalen Admin auf den Member-Systemen zu haben, Du willst aber verhindern, dass AD-Admins sich an Membern überhaupt anmelden, egal ob sie dort Adminrechte haben oder nicht. Manche kennen das Konzept als "Tiering".

Link zu diesem Kommentar

Hey Evgenij,

 

vielen Dank für dein schnelles Feedback. Vom Konzept des Tiering habe ich schon gehört, umgesetzt habe ich es selbst aber noch nicht. Die Umgebung ist aber in der Tat aber auch so klein, dass Tiering hier ein ganz schöner Overkill wäre. Obwohl der Sicherheit wäre es natürlich zuträglich - da kann der Aufwand manchmal nicht hoch genug sein.

 

Habe ich noch andere Möglichkeiten die Umgebung wenigstens ein bisschen zu härten?

Link zu diesem Kommentar
vor 10 Minuten schrieb tomcek:

Die Umgebung ist aber in der Tat aber auch so klein, dass Tiering hier ein ganz schöner Overkill wäre. Obwohl der Sicherheit wäre es natürlich zuträglich - da kann der Aufwand manchmal nicht hoch genug sein.

Wieso denn? Du musst ja nicht 20 Tier bauen, sondern - weil die Umgebung so klein ist - nur einen :-) Eine Policy, die verbietet, dass Tier 0-Accounts sich an Nicht-Tier 0-Maschinen anmelden, ein zweites Admin-Account für jeden der beiden Admins plus das Kennwort für bestehende Accounts rollen, that's it.

Link zu diesem Kommentar

Ok, das heißt also, dass ich in dieser Umgebung spezielle Admin-Accounts anlege die ausschließlich auf die Server (Tier 0) zugreifen und denen es via Policy verboten wird auf alle anderen Clients (nicht Tier 0) zuzugreifen? In der Umgebung befindet sich u.a. noch ein Terminalserver für die 10 Mitarbeiter ... der sollte dann auch Nicht-Tier-0 sein, oder?

Link zu diesem Kommentar
vor 32 Minuten schrieb tomcek:

ausschließlich auf die Server (Tier 0) zugreifen 

Domain Controller.

 

Fileserver, Datenbankserver und sowas sind nicht Tier 0. In der ursprünglichen Microsoft-Denke wäre das Tier 1, und Clients + Terminalserver sind Tier 2. Du kannst beschließen, nicht päpstlicher zu sein als der Papst und nur den Tier 0 vom Rest zu isolieren.

bearbeitet von cj_berlin
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...