firebb 10 Geschrieben 13. Juni Melden Teilen Geschrieben 13. Juni Hallo, wir haben bei uns einen Server, welcher nur die Hyper-V Rolle installiert hat. Darauf laufen dann unsere eigentlichen Server. Jetzt müssen wir, wegen einer Vorgabe unserer Versicherung, für unsere gesamten Administrator Konten eine Multi-Faktor Authentifizierung implementieren. Für die Domänen Benutzer / Admins ist das soweit kein Problem. Das lösen wir mit AuthLite, allerdings haben wir jetzt immer noch den Administrator Benutzer der Hyper-V Host Maschine, welche sich in keiner Domäne befindet. Welche Möglichkeiten der Umsetzung bzw. Absicherung mit Multi-Faktor würde es hier geben? Wie würdet Ihr so eine Anforderung umsetzen? LG firebb Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 13. Juni Melden Teilen Geschrieben 13. Juni Gerade eben schrieb firebb: Administrator Benutzer der Hyper-V Host Maschine, welche sich in keiner Domäne befindet. Wäre ja die Frage, warum man die nicht einfach in die Domäne steckt. Es sei denn es gibt irgendwelche organisatorischen Gründe die dagegen sprechen. Am Ende hast du auf jedem Server (mal vom DC abgesehen) lokale Konten. Es gibt halt immer nen "Glass break Account", der am Ende irgendwie genutzt werden können muss, auch wenn die MFA Lösung grad kaputt ist. Zitieren Link zu diesem Kommentar
firebb 10 Geschrieben 13. Juni Autor Melden Teilen Geschrieben 13. Juni Naja, der DC läuft als VM auf dem besagten Hyper-V Server. Daher weiß ich gar nicht, ob es so sinnvoll ist die Host Maschine in diese Domäne zu hängen. Wir haben von unserer Versicherung folgende Vorgabe erhalten welche wir jetzt versuchen umzusetzen: Zitat Der Versicherungsnehmer stellt sicher, dass administrative Accounts getrennt von regulären Nutzeraccounts sowie nur für Admin-Tätigkeiten genutzt werden. Darüber hinaus hat der Versicherungsnehmer die administrativen Accounts mindestens mit einer Multi-Faktor-Authentifizierung (MFA) zu sichern. Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 13. Juni Melden Teilen Geschrieben 13. Juni Gerade eben schrieb firebb: Naja, der DC läuft als VM auf dem besagten Hyper-V Server. Na und? Gerade eben schrieb firebb: Daher weiß ich gar nicht, ob es so sinnvoll ist die Host Maschine in diese Domäne zu hängen. Schon, oder wo siehst du Probleme? Mal von den Anforderungen deiner Versicherung abgesehen, die dir das ja mehr oder weniger jetzt "befiehlt" ;) Zitieren Link zu diesem Kommentar
firebb 10 Geschrieben 13. Juni Autor Melden Teilen Geschrieben 13. Juni Ich denke mir nur, dass es eventuell zu Problemen mit der Anmeldung usw. kommen könnte, wenn der DC beim Hochfahren des Hosts noch nicht erreichbar ist, da die VM selbst noch nicht hochgefahren ist oder sonst etwas passiert und diese dann nicht mehr erreichbar wird. Sodass dann eine Anmeldung am Hyper-V Host gar nicht mehr möglich wird. Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 13. Juni Melden Teilen Geschrieben 13. Juni Du denkst "zuviel" an der Stelle. ;) Gerade eben schrieb firebb: Sodass dann eine Anmeldung am Hyper-V Host gar nicht mehr möglich wird. Die wär ja IMMER möglich mit dem lokalen Admin (denn der hat ja kein MFA). Zitieren Link zu diesem Kommentar
firebb 10 Geschrieben 13. Juni Autor Melden Teilen Geschrieben 13. Juni vor 1 Minute schrieb NorbertFe: Du denkst "zuviel" an der Stelle. ;) Da hast Du wahrscheinlich sogar recht vor 2 Minuten schrieb NorbertFe: Die wär ja IMMER möglich mit dem lokalen Admin (denn der hat ja kein MFA). Das stimmt auch wieder. Aber dann wäre es ja praktisch unmöglich die Vorgabe der Versicherung so umzusetzen. Denn auch wenn ich jetzt am Server nur mit einem Domänen- Admin User einsteige und dieser MFA hat, dann bekomme ich die lokalen Admins trotzdem nicht abgesichert. So wie Du es in deiner ersten Antwort eigentlich schon richtig gesagt hast. Wir haben zumindest bei allen PCs mit LAPS das lokale Admin Konto mit random Kennwörtern geändert, aber das kann ich für den Hyper-V host fast nicht umsetzen, denn wenn der DC wirklich nicht mehr erreichbar wäre, würden wir auch zu diesem Kennwort nicht mehr kommen. Also meiner Meinung beißt sich da die Katze in den Schwanz... Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 13. Juni Melden Teilen Geschrieben 13. Juni (bearbeitet) vor 7 Minuten schrieb firebb: Das stimmt auch wieder. Aber dann wäre es ja praktisch unmöglich die Vorgabe der Versicherung so umzusetzen. Natürlich. Sie gibt dir vor, dass "die für die Administration genutzten Accounts abzusichern sind". Der lokale Account wird mit einem Passwort versehen, dass niemand kennt und im Safe verwahrt und gut ist. LAPS wäre für den Hyper-V Host keine so gute Idee, weil du ohne DC nicht an das Kennwort kämest und dann per Offline Boot das lokale Adminkennwort zurücksetzen müsstest. Kann man zwar machen, ist aber eben im Fall der Fälle erstens stressig und zweitens dauert es auch Zeit, die man ggf. für andere Sachen besser nutzen könnte. vor 8 Minuten schrieb firebb: Also meiner Meinung beißt sich da die Katze in den Schwanz... Du denkst schon wieder falsch imho. bearbeitet 13. Juni von NorbertFe Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 13. Juni Melden Teilen Geschrieben 13. Juni Moin, wenn es technisch gar nicht möglich ist, einen Account mit MFA zu sichern, dann dokumentiert ihr das, sorgt auf anderem Wege für angemessenen Schutz (durch ein sehr starktes Kennwort etwa) und gut. Was die Versicherung meint, ist ja klar, und denen ist auch klar, dass sie nichts technisch Unmögliches voraussetzen kann. Ein anderer Punkt irritiert mich mehr: Wieso "der DC"? Habt ihr nur einen? Wie viele Anwender hat die Umgebung? Gruß, Nils Zitieren Link zu diesem Kommentar
firebb 10 Geschrieben 13. Juni Autor Melden Teilen Geschrieben 13. Juni (bearbeitet) vor 3 Stunden schrieb NorbertFe: Natürlich. Sie gibt dir vor, dass "die für die Administration genutzten Accounts abzusichern sind". Der lokale Account wird mit einem Passwort versehen, dass niemand kennt und im Safe verwahrt und gut ist. LAPS wäre für den Hyper-V Host keine so gute Idee, weil du ohne DC nicht an das Kennwort kämest und dann per Offline Boot das lokale Adminkennwort zurücksetzen müsstest. Kann man zwar machen, ist aber eben im Fall der Fälle erstens stressig und zweitens dauert es auch Zeit, die man ggf. für andere Sachen besser nutzen könnte. vor 2 Stunden schrieb NilsK: wenn es technisch gar nicht möglich ist, einen Account mit MFA zu sichern, dann dokumentiert ihr das, sorgt auf anderem Wege für angemessenen Schutz (durch ein sehr starktes Kennwort etwa) und gut. Was die Versicherung meint, ist ja klar, und denen ist auch klar, dass sie nichts technisch Unmögliches voraussetzen kann. Ok, verstehe. Dann werden wir das so machen. Danke Euch für die Aufklärung und Hilfe. Das hat mir schon sehr viel weitergeholfen. vor 2 Stunden schrieb NilsK: Ein anderer Punkt irritiert mich mehr: Wieso "der DC"? Habt ihr nur einen? Wie viele Anwender hat die Umgebung? Mit dieser Frage habe ich schon fast gerechnet. Ja, es gibt nur einen DC. Das Netzwerk ist ziemlich klein und es gibt nur 9 Benutzer die darauf arbeiten. LG firebb bearbeitet 13. Juni von firebb Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 13. Juni Melden Teilen Geschrieben 13. Juni vor 45 Minuten schrieb firebb: Mit dieser Frage habe ich schon fast gerechnet. Ja, es gibt nur einen DC. Das Netzwerk ist ziemlich klein und es gibt nur 9 Benutzer die darauf arbeiten. Selbst meine kleinsten Kunden mit 5 Usern haben einen 2ten DC - aber das wurde hier im Board schon oft diskutiert Ich hoffe, das deine Aussage nicht bedeutet, das der DC auch Fileserver oder mehr ist… Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 13. Juni Melden Teilen Geschrieben 13. Juni Gerade eben schrieb Nobbyaushb: Selbst meine kleinsten Kunden mit 5 Usern haben einen 2ten DC - aber das wurde hier im Board schon oft diskutiert Ich hoffe, das deine Aussage nicht bedeutet, das der DC auch Fileserver oder mehr ist… Genau. In Kleinumgebungen gibt es je nach Betrachtungsmeise für den Einen bessere Argumente. Für die Entscheidung ist m.E. eher Ausschlaggebend was AD für einen Zweck erfüllt. Reine Authentifzierung im Einschichtbetrieb oder eben auch Live-Daten von ERP/Exchange etc. Aber eben, dazu gibts genügend Diskussionsbeiträge im Forum Host in AD: Also für mich ist irgendwie die Aufnahme ins AD unlogisch, auch wenn es technisch machbar ist. Imho sollte die getrennt vom Rest sein. Sonst sind auch immer alle für saubere Trennung, warum hier nicht? Imho mit etwas vom wichtigsten. Ausser es ist wirklich eine eigene AD-Struktur für die Infrastruktur. *schulterzuck* Soweit irgendwie möglich heisst das für mich immer eine physische Trennung von Infrastruktur und produktivem Netz. Mindestens eigene physische Netzwerkkarte, eigene Switches, eigene Admin-Kiste(n). So brauchts ein VM zu Host Break. Diese Lücken sind äusserst selten. Dann ist die Versicherung ziemlich sicher auch ohne MFA zufrieden im Infrastrukturbereich. Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 13. Juni Melden Teilen Geschrieben 13. Juni vor 21 Minuten schrieb Weingeist: Sonst sind auch immer alle für saubere Trennung, warum hier nicht? Imho mit etwas vom wichtigsten. Ausser es ist wirklich eine eigene AD-Struktur für die Infrastruktur. *schulterzuck* Ja, ich wußte, dass dieses Argument kommt. Aber eine eigene AD Struktur wird sich ein normaler "mittelgroßer" Betrieb selten leisten (hab ich bisher nicht gesehen afair) und ohne AD ist bspw. der Betrieb eines Hyper-V Clusters nicht so richtig "praktikabel". Und ja, ich weiß dass es bei ESX und Konsorten auch ohne AD geht. ;) Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 13. Juni Melden Teilen Geschrieben 13. Juni Ihr vergesst glaub alle grad die einfachste Form der MFA: Zweiter Admin, der die zweite Hälfte des Kennworts weiß... Klar ist das unkomfortabel, weil man diesen 2. Admin "zur Hand" haben muß, aber mehr als nix ist es auf jeden Fall. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.