magheinz 110 Geschrieben 5. Juli Melden Teilen Geschrieben 5. Juli vor 14 Minuten schrieb wznutzer: Tatsächlich nur ERP (Vertrieb, Marketing) keine Dienstleister die irgendwas an der Infrastruktur mitarbeiten müssen. Braucht das ERP einen Client, oder läuft das komplett im Browser? Wir haben auch ein paar Freigaben direkt über die Loadbalancer auf die jeweiligen Webschnittstellen. Die Externen rufen dann https://foobar auf, laufen durch die netscaler-Zweifaktorauthentifizierung und landen dann über ihren eigenen Browser direkt in der Anwendung. Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 5. Juli Autor Melden Teilen Geschrieben 5. Juli vor 1 Stunde schrieb magheinz: Braucht das ERP einen Client, oder läuft das komplett im Browser? Es benötigt einen Client, eine ganz normale Windows-Forms Anwendung. Deswegen der RDS. Für das was getan werden muss, ist jedoch ein Browser ausreichend. Ich dachte, ich mache das über den HTML5-Client, gebe aber nicht den kompletten Desktop frei, sondern nur die Anwendung (Remote-App). Im Prinzip will ich mich vor dem Szenario schützen, dass im schlimmsten Fall der Anwender böswillig handelt oder seine Zugangsdaten unvorsichtig weitergibt. Auch dann soll möglichst nichts passieren können. Aber vielleicht übertreibe ich auch. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 5. Juli Melden Teilen Geschrieben 5. Juli Bei uns mussten sich die Externen telefonisch anmelden, dann haben wir den User wieder aktiviert Ist der Mensch fertig, meldet er sich ab und wir haben den User deaktiviert Ist mir also fast egal wenn der die Daten weitergibt… Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 5. Juli Melden Teilen Geschrieben 5. Juli vor 5 Stunden schrieb wznutzer: Im Prinzip will ich mich vor dem Szenario schützen, dass im schlimmsten Fall der Anwender böswillig handelt oder seine Zugangsdaten unvorsichtig weitergibt. Auch dann soll möglichst nichts passieren können. Hatte ich doch im ersten Posting beschrieben, Account dauerhaft deaktivieren und nur aktivieren bei Benutzung. Es gibt auch Software, die während der Arbeit des DL/Externen alles aufzeichnet. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 6. Juli Melden Teilen Geschrieben 6. Juli vor 23 Stunden schrieb Sunny61: Es gibt auch Software, die während der Arbeit des DL/Externen alles aufzeichnet. Auch wenn wir das nicht nutzen, citrix hat das Session-recording integriert. Für reines RDP scheint es etliche Dritthersteller zu geben. Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 6. Juli Autor Melden Teilen Geschrieben 6. Juli Vielen dank für den regen Austausch. Am 5.7.2024 um 19:40 schrieb Sunny61: Account dauerhaft deaktivieren und nur aktivieren bei Benutzung Ich glaube, ich habe einen etwas anderen Bedarf. Bei mir geht es um Vertrieb und Marketing. Die arbeiten dauerhaft, geben Leads ein, erstellen Angebote, Aufträge, aber sind halt externe Agenturen / Fachhändler. Wenn ich das richtig verstehe, gibt es bei den vorgeschlagenen Vorgehensweisen keinen Schutz vor Böswilligkeit, es gibt einen Vertrauensvorschuss. Bisher lassen wir grundsätzlich keine Dritten ins Netz. Klappt ganz gut, außer Veeam besteht bei manchen Case auf eine Webex-Sitzung. Selbst das machen wir dann nur im Ansichtsmodus und hinterher wird die VM zurückgesetzt. Die Idee war möglichst eine Konfiguration zu haben, die im schlimmsten Fall kompromittiert ist und sich nicht auf den Rest auswirkt. Also es soll selbst dann sicher sein, wenn jemand absichtlich versucht etwas anzustellen. Das scheint eher unüblich zu sein. Auch die Dienstleister sagen, bei allen anderen gibt es einen Zugang wie für jeden regulären Mitarbeiter (VPN, RDP auf RDS fertig). Darf ich die Diskussion nochmals in eine Richtung lenken. Ich tendiere noch immer dazu den RDS in einem VLAN zu separieren. Um den SQL-Port mache ich mir weniger sorgen, aber ich brauche halt auch Ports zum AD: TCP 135 Microsoft RPC TCP/UDP 49152 – 65535 RPC Dynamic Ports TCP 88 Kerberos TCP 389 LDAP UDP 53 DNS TCP 445 SMB Gibt es da etwas besonderes zu beachten (aktuelle Systeme, komplexe und lange Passwörter)? Danke und ein schönes Restwochenende Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 6. Juli Melden Teilen Geschrieben 6. Juli Irgendwie passt dieses Misstrauen den Leuten gegenüber und deren Tätigkeit nicht wirklich zusammen. Wenn ich Leute in mein Netz lassen muss denen ich misstraue, dann machen die das nicht unbeobachtet. Vertraue ich denen, gibts entsprechende Verträge. Alllerdings verstehe ich auch noch nicht wirklich was die Leute da tun sollen. Externe machen Angebote Aufträge etc über euer ERP? Da hätte ich ganz andere Bedenken als die Netzwerksicherheit. Oder seid ihr ein ERP-SAS-Anbieter? Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 7. Juli Melden Teilen Geschrieben 7. Juli (bearbeitet) Moin @wznutzer, vielleicht merkst Du es schon: Die ultimative Antwort auf Deine Herausforderung wäre ein Web-Frontend für das ERP, idealerweise mit MFA. Dann musst Du niemanden in Dein Netz lassen, und das Thema ist erledigt. Vielleicht kann der Anbieter der ERP-Software so etwas ermöglichen, zumindest für den Teil der Arbeit, welcher an Externe rausgegeben wird? Ist es nicht möglich, dann hast Du User, die sich in Deinem Netz anmelden und deren Credentials theoretisch abhanden kommen könnten. Und an dieser Stelle gibt es keine Empirik, die nahelegt, dass Externe dort weniger Sorgfalt an den Tag legen würden als Interne, eher im Gegenteil. Somit musst Du für jeden User, intern wie extern, eine Blast Radius-Analyse betreiben und die Angriffsfläche entsprechend einschränken. Da sprechen wir aber nicht primär über IP-Adressen und Ports, sondern über Berechtigungen. Für IP-Adressen und Ports gibt es zwar auch einige leicht umzusetzende Vorschläge, welchje die Sicherheit erhöhen (Clients dürfen nicht miteinander sprechen, Client-, Drucker- und VPN-Netze dürfen nicht in Management-Netze sprechen usw.) aber das ist unabhängig von diesem Thread. Mein Lieblingsbeispiel: Es gibt NULL Notwendigkeit für Otto Normaluser, egal ob kaufmännisch gesehen intern oder extern, Admin-Accounts, Admin-Gruppen oder Computer-Objekte per LDAP im AD zu lesen. Betrachtet man es genauer, ist es in 95% der Fälle für Otto Normaluser nicht notwendig, IRGENDEIN AD-Objekt aus der Domain-Partition außer dem eigenen User-Objekt zu lesen. Und wenn man das verinnerlicht hat und sich dann den Schreibrechten zuwendet, kann man weiter härten Druckspooler überall deaktivieren, wo nicht gedruckt wird. EDIT: Auf Tier 0-Systemen auch dann, wenn dort gedfdruckt wird, und das Drucken von dort entfernen. Wie, ist egal. Alle Webdienste aus dem Repertoire von ADCS rigoros deinstallieren, bis auf HTTP-CDP und OCSP. Last but not least: Ich weiß nicht, ob die Vertragslage sich geändert hat, aber früher war es nicht ohne weiteres zulässig, Personen auf seiner Windows-/SQL-Infrastruktur dauerhaft arbeiten zu lassen, die wirtschaftlich nicht zu dem Lizenznehmer-Unternehmen gehören. Vielleicht kann @lizenzdoc das auch noch bewerten. bearbeitet 7. Juli von cj_berlin 1 Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 7. Juli Melden Teilen Geschrieben 7. Juli (bearbeitet) Moin, Zu der Lizenzfrage: meiner Erinnerung nach liegt die Grenze da, wo ein Externer seiner eigenen Arbeit nachgeht oder im Auftrag für die lizenzierte Firma tätig ist. Erledigt der Externe "meine" Arbeit (und wird dafür typischerweise von mir bezahlt), dann darf er meine Lizenzen nutzen. Stelle ich ihm eine Plattform, damit er seine eigene Arbeit erledigt (dann bekomme üblicherweise ich Geld von ihm), dann muss das anders lizenziert werden. Ist aber nur aus der Erinnerung und muss nicht stimmen. Zu den Arbeiten, eine Umgebung nachträglich abzuschotten: man mache sich nichts vor, da geht einiges, aber da Windows vor 25 Jahren grundsätzlich anders entworfen wurde (nämlich "offen"), ist das richtig Arbeit und man muss oft an am Rande der technischen Nutzbarkeit entlang frickeln. Gruß, Nils bearbeitet 7. Juli von NilsK Zitieren Link zu diesem Kommentar
lizenzdoc 207 Geschrieben 8. Juli Melden Teilen Geschrieben 8. Juli Hallo zusammen, alles für mich zu technisch :) Aber Externe (Gäste) darf u. muss man mit firmeneigenen Lizenzen lizenzieren, wenn diese im Sinne der Firma Arbeit leisten. Arbeiten die aber ihr "eigenes Ding", ist das quasi "Hosting" und wäre mit den normen eigenen Lizenz nie erlaubt! Das Wäre also SPLA und da braucht man ja eigene Server und Lizenzen dazu ! Viele Grüße, Franz 1 Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 8. Juli Autor Melden Teilen Geschrieben 8. Juli Guten Morgen, herzlichen Dank für den regen Austausch. Am 6.7.2024 um 22:02 schrieb magheinz: Vertraue ich denen, gibts entsprechende Verträge. Die kaufmännische Seite hat da Verträge, aber ein Vertrag ist für meine Bedenken nur dazu da um einen Schuldigen zu finden. Er verhindert ja nichts. Am 6.7.2024 um 22:02 schrieb magheinz: Oder seid ihr ein ERP-SAS-Anbieter? Nein. Am 7.7.2024 um 09:03 schrieb cj_berlin: vielleicht merkst Du es schon: Die ultimative Antwort auf Deine Herausforderung wäre ein Web-Frontend für das ERP, idealerweise mit MFA. Das wäre mein Traum . Nochmals Danke für die ausführliche Antwort. Vom Rest habe ich tatsächlich schon einiges umgesetzt (Tier-Konzept, MFA, Clients teilweise separiert usw.). Um zwei Dinge werde ich mich unabhängig davon kümmern. Evtl. mag mich jemand noch in die richtige Richtung schubsen. AD-Objekte per LDAP auslesen verhindern: Hätte mir da jemand einen Link über weitere Informationen? Druckspooler: Ist das (Printnightmare mal außen vor) ein generelles Sicherheitsproblem? Meine Eingangs erwähnte Variante, ein komplettes AD neu aufzubauen habe ich nach dieser Diskussion verworfen. Das halte ich dann doch für übertrieben. Ich werde wohl einen separaten RDS in einem eigenen VLAN dafür richten und den möglichst so zunageln, dass dieser zwar alles nötige nutzen kann, aber auch nicht mehr. Weiterer Aufwand ist dann wohl besser in Dinge investiert, die generell nicht nur für den Fall "extern" was bringen. Kennt hier jemand das Tool Purple Knight oder Forest Druid? Empfehlenswert für die AD-Sicherheit? Es wird in einem Blog erwähnt: https://www.semperis.com/de/category/ad-security-101/ Die Lizenzen sind safe. Die Leute machen unsere Arbeit. Am 7.7.2024 um 09:44 schrieb NilsK: richtig Arbeit und man muss oft an am Rande der technischen Nutzbarkeit entlang frickeln. Das wollte ich jetzt nicht hören . Vielen Dank nochmals an alle. Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 8. Juli Melden Teilen Geschrieben 8. Juli vor 22 Minuten schrieb wznutzer: Kennt hier jemand das Tool Purple Knight oder Forest Druid? Empfehlenswert für die AD-Sicherheit? Es wird in einem Blog erwähnt: https://www.semperis.com/de/category/ad-security-101/ Ja 1 1 Zitieren Link zu diesem Kommentar
Gulp 254 Geschrieben 8. Juli Melden Teilen Geschrieben 8. Juli vor 24 Minuten schrieb wznutzer: Kennt hier jemand das Tool Purple Knight oder Forest Druid? Empfehlenswert für die AD-Sicherheit? Ja, ich zB nutze auch noch PingCastle (mit Auditor Lizenz) zum regelmässigen AD Screening ..... Grüsse Gulp 1 Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 8. Juli Melden Teilen Geschrieben 8. Juli vor 2 Stunden schrieb wznutzer: Druckspooler: Ist das (Printnightmare mal außen vor) ein generelles Sicherheitsproblem? Weniger ist mehr. Es gab mal ein Excel Sheet von MS mit den Diensten, die man abschalten kann, finde ich auf die Schnelle nicht mehr. Alternativ: https://www.der-windows-papst.de/2019/12/01/windows-server-unnoetige-dienste-abschalten/ https://www.der-windows-papst.de/2020/12/15/windows-server-unwichtige-dienste-abschalten/ https://gist.github.com/GavinEke/abfc2a547aea74b9d74a2c0c598f3fd7 Das muss natürlich jeder selbst entscheiden, welche Dienste er deaktiviert. 1 Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 8. Juli Melden Teilen Geschrieben 8. Juli Moin, vor 4 Stunden schrieb lizenzdoc: Aber Externe (Gäste) darf u. muss man mit firmeneigenen Lizenzen lizenzieren, wenn diese im Sinne der Firma Arbeit leisten. Arbeiten die aber ihr "eigenes Ding", ist das quasi "Hosting" und wäre mit den normen eigenen Lizenz nie erlaubt! Das Wäre also SPLA und da braucht man ja eigene Server und Lizenzen dazu ! prima, dann lag ich ja mit meiner Einschätzung genau richtig. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.