Jump to content

Multi Faktor Anmeldung für nicht Domänen Mitglieder


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

wir haben bei uns einen Server, welcher nur die Hyper-V Rolle installiert hat. Darauf laufen dann unsere eigentlichen Server.

Jetzt müssen wir, wegen einer Vorgabe unserer Versicherung, für unsere gesamten Administrator Konten eine Multi-Faktor Authentifizierung implementieren.

 

Für die Domänen Benutzer / Admins ist das soweit kein Problem. Das lösen wir mit AuthLite, allerdings haben wir jetzt immer noch den Administrator Benutzer der Hyper-V Host Maschine, welche sich in keiner Domäne befindet.

Welche Möglichkeiten der Umsetzung bzw. Absicherung mit Multi-Faktor würde es hier geben? Wie würdet Ihr so eine Anforderung umsetzen?

 

LG

firebb

Link zu diesem Kommentar
Gerade eben schrieb firebb:

Administrator Benutzer der Hyper-V Host Maschine, welche sich in keiner Domäne befindet.

Wäre ja die Frage, warum man die nicht einfach in die Domäne steckt. Es sei denn es gibt irgendwelche organisatorischen Gründe die dagegen sprechen. Am Ende hast du auf jedem Server (mal vom DC abgesehen) lokale Konten. Es gibt halt immer nen "Glass break Account", der am Ende irgendwie genutzt werden können muss, auch wenn die MFA Lösung grad kaputt ist.

Link zu diesem Kommentar

Naja, der DC läuft als VM auf dem besagten Hyper-V Server.

Daher weiß ich gar nicht, ob es so sinnvoll ist die Host Maschine in diese Domäne zu hängen.

 

Wir haben von unserer Versicherung folgende Vorgabe erhalten welche wir jetzt versuchen umzusetzen:

 

Zitat

Der Versicherungsnehmer stellt sicher, dass administrative Accounts getrennt von regulären Nutzeraccounts sowie nur für Admin-Tätigkeiten genutzt werden. Darüber hinaus hat der Versicherungsnehmer die administrativen Accounts mindestens mit einer Multi-Faktor-Authentifizierung (MFA) zu sichern.

 

Link zu diesem Kommentar
Gerade eben schrieb firebb:

Naja, der DC läuft als VM auf dem besagten Hyper-V Server.

 

Na und?

Gerade eben schrieb firebb:

Daher weiß ich gar nicht, ob es so sinnvoll ist die Host Maschine in diese Domäne zu hängen.

 

Schon, oder wo siehst du Probleme? Mal von den Anforderungen deiner Versicherung abgesehen, die dir das ja mehr oder weniger jetzt "befiehlt" ;)

Link zu diesem Kommentar

Ich denke mir nur, dass es eventuell zu Problemen mit der Anmeldung usw. kommen könnte, wenn der DC beim Hochfahren des Hosts noch nicht erreichbar ist, da die VM selbst noch nicht hochgefahren ist oder sonst etwas passiert und diese dann nicht mehr erreichbar wird. Sodass dann eine Anmeldung am Hyper-V Host gar nicht mehr möglich wird.

Link zu diesem Kommentar
vor 1 Minute schrieb NorbertFe:

Du denkst "zuviel" an der Stelle. ;)

 

Da hast Du wahrscheinlich sogar recht :D

 

vor 2 Minuten schrieb NorbertFe:

Die wär ja IMMER möglich mit dem lokalen Admin (denn der hat ja kein MFA).

 

Das stimmt auch wieder. Aber dann wäre es ja praktisch unmöglich die Vorgabe der Versicherung so umzusetzen. Denn auch wenn ich jetzt am Server nur mit einem Domänen- Admin User einsteige und dieser MFA hat, dann bekomme ich die lokalen Admins trotzdem nicht abgesichert. So wie Du es in deiner ersten Antwort eigentlich schon richtig gesagt hast.

 

Wir haben zumindest bei allen PCs mit LAPS das lokale Admin Konto mit random Kennwörtern geändert, aber das kann ich für den Hyper-V host fast nicht umsetzen, denn wenn der DC wirklich nicht mehr erreichbar wäre, würden wir auch zu diesem Kennwort nicht mehr kommen.

 

Also meiner Meinung beißt sich da die Katze in den Schwanz...

Link zu diesem Kommentar
vor 7 Minuten schrieb firebb:

Das stimmt auch wieder. Aber dann wäre es ja praktisch unmöglich die Vorgabe der Versicherung so umzusetzen.

Natürlich. Sie gibt dir vor, dass "die für die Administration genutzten Accounts abzusichern sind". Der lokale Account wird mit einem Passwort versehen, dass niemand kennt und im Safe verwahrt und gut ist. LAPS wäre für den Hyper-V Host keine so gute Idee, weil du ohne DC nicht an das Kennwort kämest und dann per Offline Boot das lokale Adminkennwort zurücksetzen müsstest. Kann man zwar machen, ist aber eben im Fall der Fälle erstens stressig und zweitens dauert es auch Zeit, die man ggf. für andere Sachen besser nutzen könnte.

vor 8 Minuten schrieb firebb:

Also meiner Meinung beißt sich da die Katze in den Schwanz...

Du denkst schon wieder falsch imho.

bearbeitet von NorbertFe
Link zu diesem Kommentar

Moin,

 

wenn es technisch gar nicht möglich ist, einen Account mit MFA zu sichern, dann dokumentiert ihr das, sorgt auf anderem Wege für angemessenen Schutz (durch ein sehr starktes Kennwort etwa) und gut. Was die Versicherung meint, ist ja klar, und denen ist auch klar, dass sie nichts technisch Unmögliches voraussetzen kann.

 

Ein anderer Punkt irritiert mich mehr: Wieso "der DC"? Habt ihr nur einen? Wie viele Anwender hat die Umgebung?

 

Gruß, Nils

 

Link zu diesem Kommentar
Geschrieben (bearbeitet)
vor 3 Stunden schrieb NorbertFe:

Natürlich. Sie gibt dir vor, dass "die für die Administration genutzten Accounts abzusichern sind". Der lokale Account wird mit einem Passwort versehen, dass niemand kennt und im Safe verwahrt und gut ist. LAPS wäre für den Hyper-V Host keine so gute Idee, weil du ohne DC nicht an das Kennwort kämest und dann per Offline Boot das lokale Adminkennwort zurücksetzen müsstest. Kann man zwar machen, ist aber eben im Fall der Fälle erstens stressig und zweitens dauert es auch Zeit, die man ggf. für andere Sachen besser nutzen könnte.

 

vor 2 Stunden schrieb NilsK:

wenn es technisch gar nicht möglich ist, einen Account mit MFA zu sichern, dann dokumentiert ihr das, sorgt auf anderem Wege für angemessenen Schutz (durch ein sehr starktes Kennwort etwa) und gut. Was die Versicherung meint, ist ja klar, und denen ist auch klar, dass sie nichts technisch Unmögliches voraussetzen kann.

 

Ok, verstehe. Dann werden wir das so machen. Danke Euch für die Aufklärung und Hilfe. Das hat mir schon sehr viel weitergeholfen.

 

vor 2 Stunden schrieb NilsK:

Ein anderer Punkt irritiert mich mehr: Wieso "der DC"? Habt ihr nur einen? Wie viele Anwender hat die Umgebung?

 

Mit dieser Frage habe ich schon fast gerechnet. Ja, es gibt nur einen DC. Das Netzwerk ist ziemlich klein und es gibt nur 9 Benutzer die darauf arbeiten.

 

LG

firebb

bearbeitet von firebb
Link zu diesem Kommentar
vor 45 Minuten schrieb firebb:

Mit dieser Frage habe ich schon fast gerechnet. Ja, es gibt nur einen DC. Das Netzwerk ist ziemlich klein und es gibt nur 9 Benutzer die darauf arbeiten.

Selbst meine kleinsten Kunden mit 5 Usern haben einen 2ten DC - aber das wurde hier im Board schon oft diskutiert 

Ich hoffe, das deine Aussage nicht bedeutet, das der DC auch Fileserver oder mehr ist…

Link zu diesem Kommentar
Gerade eben schrieb Nobbyaushb:

Selbst meine kleinsten Kunden mit 5 Usern haben einen 2ten DC - aber das wurde hier im Board schon oft diskutiert 

Ich hoffe, das deine Aussage nicht bedeutet, das der DC auch Fileserver oder mehr ist…

Genau. In Kleinumgebungen gibt es je nach Betrachtungsmeise für den Einen bessere Argumente.  Für die Entscheidung ist m.E. eher Ausschlaggebend was AD für einen Zweck erfüllt. Reine Authentifzierung im Einschichtbetrieb oder eben auch Live-Daten von ERP/Exchange etc. Aber eben, dazu gibts genügend Diskussionsbeiträge im Forum :smile2:

 

Host in AD: Also für mich ist irgendwie die Aufnahme ins AD unlogisch, auch wenn es technisch machbar ist. Imho sollte die getrennt vom Rest sein. Sonst sind auch immer alle für saubere Trennung, warum hier nicht? Imho mit etwas vom wichtigsten. Ausser es ist wirklich eine eigene AD-Struktur für die Infrastruktur. *schulterzuck*

 

Soweit irgendwie möglich heisst das für mich immer eine physische Trennung von Infrastruktur und produktivem Netz. Mindestens eigene physische Netzwerkkarte, eigene Switches, eigene Admin-Kiste(n). So brauchts ein VM zu Host Break. Diese Lücken sind äusserst selten. Dann ist die Versicherung ziemlich sicher auch ohne MFA zufrieden im Infrastrukturbereich.

Link zu diesem Kommentar
vor 21 Minuten schrieb Weingeist:

Sonst sind auch immer alle für saubere Trennung, warum hier nicht? Imho mit etwas vom wichtigsten. Ausser es ist wirklich eine eigene AD-Struktur für die Infrastruktur. *schulterzuck*

Ja, ich wußte, dass dieses Argument kommt. Aber eine eigene AD Struktur wird sich ein normaler "mittelgroßer" Betrieb selten leisten (hab ich bisher nicht gesehen afair) und ohne AD ist bspw. der Betrieb eines Hyper-V Clusters nicht so richtig "praktikabel". Und ja, ich weiß dass es bei ESX und Konsorten auch ohne AD geht. ;)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...