Pipeline 12 Geschrieben 18. November Melden Teilen Geschrieben 18. November Moin zusammen, wir hatten ein Sicherheitsaudit (mal wieder) inkl. PEN Test. Der Abschlussbericht enthält die Empfehlung im Active Directory den built-in Administrator zu deaktivieren. Das ist ja auch nicht gerade eine neue Idee. Wir verwenden den nicht aktiv, nur unsere personalisierten Konten, daher wäre das ohne direkte Probleme nötig. Wir wollten das schon lange machen, jedoch waren wir uns über mögliche Einschränkungen nicht sicher. Bei der Recherche gab es nur ein einziges Risiko welches wir gefunden haben und zwar der AD Restore. Dazu haben wir widersprüchliches gefunden. In einigen Artikeln hieß es der built-in Admin wird auf der Restore Konsole automatisch wieder aktiviert, mal hieß es ohne aktiven User geht es nicht. Auch dieser Artikel hatte letztes Jahr noch die Empfehlung den User zu deaktivieren, inzwischen wurde das überarbeitet Appendix D - Securing Built-In Administrator Accounts in Active Directory | Microsoft Learn Zitat This guide used to recommend disabling the account. This was removed as the forest recovery white paper makes use of the default administrator account. The reason is, this is the only account that allows logon without a Global Catalog Server. Auch das forest recovery sollte zuvor das Verhalten haben, dass der User wieder aktiv wird. Nun bitte ich euch um echte, eigene Erfahrungen dazu. Hat es schon jemand durchgeführt und kann die Widersprüche aufklären? Viele Grüße, Stefan Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 18. November Melden Teilen Geschrieben 18. November Moin, deaktivieren, das DSRM-Kennwort kennen, beim Recovery zuerst im DSRM den RID-500 wieder aktivieren und dann im Recovery-Prozess damit arbeiten, falls und wo notwendig. Das ganze Thema akribisch dokumentieren, üben und die Dokumentation an einem Ort aufbewahren, den man ohne AD erreicht. 3 Zitieren Link zu diesem Kommentar
toao 4 Geschrieben Dienstag um 06:06 Melden Teilen Geschrieben Dienstag um 06:06 Guten Morgen, aktiviert lassen, ausreichendes Monitoring inklusive Alerting einrichten, das Kennwort offline sicher verwahren. Drills für den Forest Restore Process durchführen, Fehler beheben, dokumentieren. Gruß, toao 1 Zitieren Link zu diesem Kommentar
Gulp 254 Geschrieben Dienstag um 08:26 Melden Teilen Geschrieben Dienstag um 08:26 (bearbeitet) Ich würde den Build-In immer deaktivieren und lieber einen neuen speziellen Domain/Enterprise Admin mit gesichertem Offline Passwort (idealerweise auch mit MFA) im Tresor bevorzugen. Der Build-In kann dann wie Evgenij anmerkt beim Restore aktiviert werden. Grüsse Glp bearbeitet Dienstag um 08:26 von Gulp Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben Dienstag um 09:29 Melden Teilen Geschrieben Dienstag um 09:29 Die CISA-Empfehlung ist den Administrator umzubenennen. Zusätzlich kann man noch als Honigtopf einen neuen User mit dem Namen "Administrator" ohne Rechte erstellen und den dann im Auge behalten, Der wird eh immer gern durch irgendwas im Netz gesperrt (z.B. durch lokale Administrator-Konten). Einen anderen User zum Enterprise-Admin machen, um den "Administrator zu deaktivieren, bringt am Ende keinen Sicherheitsgewinn. Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben Dienstag um 09:31 Melden Teilen Geschrieben Dienstag um 09:31 (bearbeitet) Moin, am Ende bleibt es eine Abwägungssache. Es gibt Argumente für und gegen das Deaktivieren. Wichtig ist vor allem, dass man den Account nicht ungeschützt lässt, im Normalbetrieb nicht verwendet und ihm vor allem keine Exchange-Mailbox gibt. Wir waren grad in einem Breach Assessment, wo Letzteres der Angriffsweg war. Gruß, Nils bearbeitet Dienstag um 09:31 von NilsK 1 1 Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben Dienstag um 18:42 Melden Teilen Geschrieben Dienstag um 18:42 vor 9 Stunden schrieb zahni: Die CISA-Empfehlung ist den Administrator umzubenennen. Zusätzlich kann man noch als Honigtopf einen neuen User mit dem Namen "Administrator" ohne Rechte erstellen und den dann im Auge behalten, LOL... Get-ADUser "$(( get-addomain -Current LocalComputer ).DomainSID.Value )-500" 2 Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben Dienstag um 20:26 Melden Teilen Geschrieben Dienstag um 20:26 Ich glaube langsam, dass ALLES, was CISA, NIST und BSI verabschieden, auf der Vorstellung beruht, dass ein Hacker vor einer Anmeldemaske sitzt und Namen und Passwörter tippt... Zitieren Link zu diesem Kommentar
teletubbieland 167 Geschrieben Dienstag um 20:37 Melden Teilen Geschrieben Dienstag um 20:37 vor 10 Minuten schrieb cj_berlin: Ich glaube langsam, dass ALLES, was CISA, NIST und BSI verabschieden, auf der Vorstellung beruht, dass ein Hacker vor einer Anmeldemaske sitzt und Namen und Passwörter tippt... Na, so sieht man das doch auch immer in den Filmen. Da muss doch was dran sein Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben Dienstag um 21:00 Melden Teilen Geschrieben Dienstag um 21:00 Moin, Genau, und auf dem Bildschirm ist dann immer der HTML-Quellcode einer Webseite. (Vermutlich wäre Homepage hier der passendere Ausdruck.) Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben Mittwoch um 08:19 Melden Teilen Geschrieben Mittwoch um 08:19 vor 13 Stunden schrieb daabm: LOL... Get-ADUser "$(( get-addomain -Current LocalComputer ).DomainSID.Value )-500" Und mit -519 bzw- -512 kannst Du die Enterprise-Admins bzw. Domain-Admins abfragen, insgesamt nur etwas mehr Tipparbeit. Daher bringt ein anderes User-Konto mit den gleichen Rechten nur sehr bedingt etwas. Nicht umsonst gibt es eine GPO (Admin und Gast umbenennen) dafür. Die CISA geht wahrscheinlich von externen Angriffen aus, die sich bisher nicht authentifiziert haben. Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben Mittwoch um 17:07 Melden Teilen Geschrieben Mittwoch um 17:07 Das Umbenennen ist kompletter Quatsch. Es gibt eine LDAP-Funktion "SID Lookup"... Deaktivieren und Shadow Principals nutzen, dann sind die "wertvollen" Gruppen nämlich leer bis auf Break-Glass-Accounts. 2 Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben Donnerstag um 07:07 Melden Teilen Geschrieben Donnerstag um 07:07 Moin, die Policy gibt es, weil es Kunden gab, die die formale Anforderung erfüllen mussten. Die Anforderung selbst erzeugt praktisch keinen Sicherheitseffekt. Es gibt ja eine ganze Reihe von Vorgaben, die überholt sind oder sich als effektarm herausgestellt haben. Manche regulierten Unternehmen müssen sie trotzdem umsetzen, weil sie eben reguliert sind. Gruß, Nils Zitieren Link zu diesem Kommentar
Pipeline 12 Geschrieben Donnerstag um 11:32 Autor Melden Teilen Geschrieben Donnerstag um 11:32 Oh ich danke euch für die vielen Antworten. Leider zeigt sich, dass es differenziert betrachtet und abgewogen werden sollte und nicht die eine richtige Antwort gibt. Ich bin hier gerade in einem Umfeld aktiv, wo der Fall zutrifft: ist vorgegeben, BSI und Co ... Eure weiteren Anregungen nehme ich für nachträgliche Verbesserungsideen gerne mit 1 Zitieren Link zu diesem Kommentar
Pipeline 12 Geschrieben Freitag um 16:34 Autor Melden Teilen Geschrieben Freitag um 16:34 Am 20.11.2024 um 18:07 schrieb daabm: Das Umbenennen ist kompletter Quatsch. Es gibt eine LDAP-Funktion "SID Lookup"... Deaktivieren und Shadow Principals nutzen, dann sind die "wertvollen" Gruppen nämlich leer bis auf Break-Glass-Accounts. Moin Martin, hast du dazu ("Shadow Principals" und "Break-Glass-Accounts") für mich eine gute Quelle zum nachlesen? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.