Assassin 13 Geschrieben 25. September Melden Teilen Geschrieben 25. September Servus miteinander, Ich habe gerade in einer Testumgebung wo es nur einen neuinstallierten und unkonfigurierten DC und einen Exchange 2019 gibt, mal PurpleKnight angeworfen. Da kommen natürlich einige Meldungen zusammen, aber eine ist recht hartnäckig wo ich nicht wirklich weiter weiß, was ich da noch einstellen kann um das Testsystem zu härten (und später natürlich auch das Produktivsystem) PurpleKnight meldet, dass die Gruppe Exchange Servers im Domänen-Administrator Konto den msDS-KEyCredentialLink wert schreiben kann. Nur habe ich ich dies bereits über eine Sicherheits-Verweigerungsregel im Administrator-Konto angepasst, dass die ExchangeServers Gruppe nicht schreiben darf auf den Eintrag. Dennoch meckert PurpleKnight diesen wert an. Was müsste ich den jetzt wie ändern, damit das sauber ist? Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 25. September Melden Teilen Geschrieben 25. September Moin, was zeigt Dir der "Effektive Zugriff"? PK kann sich auch ab und zu irren (full disclosure: Ich arbeite bei Semperis) Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 25. September Melden Teilen Geschrieben 25. September @cj_berlin falsche (oder gar keine) Auswertung des Allow/Deny Flags? Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 25. September Melden Teilen Geschrieben 25. September Hatte noch keine Zeit gefunden reinzugucken, aber ich habe die Frage dort platziert, wo sie hingehört. Wenn ich was höre, poste ich es hier. 2 Zitieren Link zu diesem Kommentar
Assassin 13 Geschrieben 26. September Autor Melden Teilen Geschrieben 26. September Zugriff auf den wert msDS-KEyCredentialLink vom Administrator wird für Exchange Servers verweigert, oder hab ich da was falsch gemacht? Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 26. September Melden Teilen Geschrieben 26. September Moin, unabhängig von PurpleKnight: Solche Anpassungen, und zwar lieber ein entferntes "allow" als ein hinzugefügtes "deny", musst Du für hochprivilegierte Benutzer und Gruppen nicht am Objekt selbst, sondern am AdminSDHolder-Container vornehmen, denn sonst werden sie nach einer Stunde (default) wieder überschrieben. So wie Du es schlderst, prüft PurpleKnight hier scheinbar nicht genau genug, aber ich lasse es jetzt checken. Nichtsdestotrotz, alles, was sich zu den Default-Admin- und Operator-Gruppen zurückverfolgen lässt, bekommt die Berechtigungen vom AdminSDHolder normalerweise drübergebügelt. Zitieren Link zu diesem Kommentar
Assassin 13 Geschrieben 26. September Autor Melden Teilen Geschrieben 26. September (bearbeitet) OK, aber auch in der Sicherheitsberechtigung des AdminSDHolders gibt es keinen eintrag zum msDS-KEyCredentialLink, also wenn ich da bei den Effektiven Zugriffen schaue. Da wird allerdings der Eintrag msDS-KEyCredentialLink garnicht mit aufgeführt. Ich finde auch nirgendwo infos im Netz, wie ich das schreibrecht entziehen kann. Habe im AdminSDHolder objekt unter den Sicherheitsberechtigungen auch jeden Exchange Servers eintrag durchgeklappert und geschaut ob es da irgendwo den eintrag msDS-KEyCredentialLink gibt wo ein häkchen davor ist - gibt es aber nicht bearbeitet 26. September von Assassin Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 26. September Melden Teilen Geschrieben 26. September Wenn Du auf dem Admin-Account andere Berechtigung hast als auf dem AdminSDHolder, dann funktioniert entweder der SDHolder-Prozess nicht, oder auf dem AdminSDHolder ist die Vererbung aktiviert (auch darüber müsste Dir PurlpleKnight berichtet haben). Der Normalzustand der Admin-User ist "Vererbung deaktiviert, ACL identisch mit AdminSDHolder". Und auf dem AdminSDHolder kannst Du den Exchange Servern alle Rechte entziehen, die Du willst, im Prinzip sogar alle, wenn Du nicht vorhast, Admin-Accounts Postfächer zu verpassen. Zitieren Link zu diesem Kommentar
Assassin 13 Geschrieben 26. September Autor Melden Teilen Geschrieben 26. September Ok, habe jetzt beim AdminSDHolder die Benutzergruppe Exchange Servers einfach mal entfernt - jetzt geht es, wird nicht mehr als gefährlich erkannt. Admin Accounts sollen auch keine E-Mail adressen bekommen. Aber steht nur deswegen die Exchange Server gruppe da mit drin wegen möglicher E-Mail-Adressen? Oder hat das vieleicht doch noch weitreichendere Folgen wenn man die gruppe entfernt? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 26. September Melden Teilen Geschrieben 26. September vor einer Stunde schrieb Assassin: Oder hat das vieleicht doch noch weitreichendere Folgen wenn man die gruppe entfernt? Stellt man sich diese Frage nicht bevor man sie entfernt? ;) An deiner Stelle würde ich es jetzt einfach abwarten. Sehr wahrscheinlich ist es aber nicht kritisch. Zitieren Link zu diesem Kommentar
Assassin 13 Geschrieben 26. September Autor Melden Teilen Geschrieben 26. September Das ist ein Testsystem wo ich das hier mache. Da ist natürlich bei weitem nicht der Umfang wie im Produktivsystem. Aber daher frage ich vorsichtshalber bevor ich das eben auch im Produktivsystem so anwende Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.