tomcek 0 Geschrieben 28. Mai Melden Teilen Geschrieben 28. Mai Hallo in die Runde, ich habe eine kleine Umgebung mit 8 VMs zu betreuen auf denen jeweils ein Dienst läuft (inkl. Windows-AD). Dort läuft schon Duo-Security, um die Anmeldung via RDP, lokaler Konsole und die Elevation der Benutzerrechte mit einer MFA abzusichern. Ich frage mich jetzt, ob es vielleicht sinnvoll ist, die Gruppe der Domain-Admins (zwei Personen) generell aus der Gruppe der Administratoren zu schmeißen und nur noch den lokalen Administrator in dieser Gruppe zu belassen? Auf den Servern direkt muss in der Tat auch nicht viel gemacht werden. Ich habe damit den Gedanken, dass im Falle der Kompromittierung des ADs, wenigstens nicht noch die anderen VMs gekapert werden können oder ich zumindest das damit erschwere. Liege ich mit dem Gedanken damit richtig oder übersehe ich da etwas grundsätzlich? Wie geht ihr damit um? Vielen Dank vorab! VG, Tom Zitieren Link zu diesem Kommentar
cj_berlin 1.312 Geschrieben 28. Mai Melden Teilen Geschrieben 28. Mai Moin, die Idee ist gut, der Gedanke ist aber andersherum und nicht weit genug. Wenn Dein AD gekapert wird, sind Member-Server sowieso dahin. Das beginnt aber in den seltensten Fällen beim AD selbst, meistens ist ein Member-System das Einstiegstor. Das heißt, Deine oberste Prämisse ist es nicht, die Member vor AD zu schützen, but eher die Admins vor den Membern zu schützen. Sprich: Es ist nicht wirklich schlimm, ein AD-Account als lokalen Admin auf den Member-Systemen zu haben, Du willst aber verhindern, dass AD-Admins sich an Membern überhaupt anmelden, egal ob sie dort Adminrechte haben oder nicht. Manche kennen das Konzept als "Tiering". Zitieren Link zu diesem Kommentar
tomcek 0 Geschrieben 28. Mai Autor Melden Teilen Geschrieben 28. Mai Hey Evgenij, vielen Dank für dein schnelles Feedback. Vom Konzept des Tiering habe ich schon gehört, umgesetzt habe ich es selbst aber noch nicht. Die Umgebung ist aber in der Tat aber auch so klein, dass Tiering hier ein ganz schöner Overkill wäre. Obwohl der Sicherheit wäre es natürlich zuträglich - da kann der Aufwand manchmal nicht hoch genug sein. Habe ich noch andere Möglichkeiten die Umgebung wenigstens ein bisschen zu härten? Zitieren Link zu diesem Kommentar
cj_berlin 1.312 Geschrieben 28. Mai Melden Teilen Geschrieben 28. Mai vor 10 Minuten schrieb tomcek: Die Umgebung ist aber in der Tat aber auch so klein, dass Tiering hier ein ganz schöner Overkill wäre. Obwohl der Sicherheit wäre es natürlich zuträglich - da kann der Aufwand manchmal nicht hoch genug sein. Wieso denn? Du musst ja nicht 20 Tier bauen, sondern - weil die Umgebung so klein ist - nur einen Eine Policy, die verbietet, dass Tier 0-Accounts sich an Nicht-Tier 0-Maschinen anmelden, ein zweites Admin-Account für jeden der beiden Admins plus das Kennwort für bestehende Accounts rollen, that's it. Zitieren Link zu diesem Kommentar
tomcek 0 Geschrieben 28. Mai Autor Melden Teilen Geschrieben 28. Mai Ok, das heißt also, dass ich in dieser Umgebung spezielle Admin-Accounts anlege die ausschließlich auf die Server (Tier 0) zugreifen und denen es via Policy verboten wird auf alle anderen Clients (nicht Tier 0) zuzugreifen? In der Umgebung befindet sich u.a. noch ein Terminalserver für die 10 Mitarbeiter ... der sollte dann auch Nicht-Tier-0 sein, oder? Zitieren Link zu diesem Kommentar
cj_berlin 1.312 Geschrieben 28. Mai Melden Teilen Geschrieben 28. Mai (bearbeitet) vor 32 Minuten schrieb tomcek: ausschließlich auf die Server (Tier 0) zugreifen Domain Controller. Fileserver, Datenbankserver und sowas sind nicht Tier 0. In der ursprünglichen Microsoft-Denke wäre das Tier 1, und Clients + Terminalserver sind Tier 2. Du kannst beschließen, nicht päpstlicher zu sein als der Papst und nur den Tier 0 vom Rest zu isolieren. bearbeitet 28. Mai von cj_berlin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.