Jump to content

zentrale Administration / Pass-the-Hash


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo in die Runde.

 

Mich würde mal interessieren wie euer Konzept für die Administration der Systeme aussieht, wie ihr sicherheitstechnisch eure Remote-Sessions realisiert!?

Gerade in Bezug auf das Thema Pass-the-Hash bzw. Eingabe von Admin-PWs an einem x-beliebigen Client.

 

Wir haben momentan folgendende Konstellation (fast) umgesetzt:

 

Client-PCs (in Subnet A):

Es existiert an jedem PC ein lokales Admin-Konto mit individuellem PW, umgesetzt mittels LAPS

 

Admin-PCs (in Subnet A):

=mit Software aufgebohrte StandardClients, die per RDP auf die Client-PCs (lok. Admin) können und auf den Admin-Server

 

Admin-Server (in Subnet B):

=Member-Server mit Windows Admin Center und den RSAT

Jeder Admin meldet sich mit seinem Dom.User dort an und kann dann alle Server per WinAdminCenter oder nRemote (RDP) administrieren.

 

 

 

LAPS ist natürlich nervig, wenn man unterwegs ist und sich mal eben lokal als Admin an einer Maschine anmelden will/muss.

Bisher griffen die Admins jeweils von ihrem Arbeitsplatz-PC direkt per RDP auf die einzelnen Server zu.

 

 

Was haltet ihr davon? Verbesserungsvorschläge?

Link zu diesem Kommentar

Wieso Lokale Admins?

 

Wir haben bei Kunden folgendes System eingeführt.

1. Mehr Zonen (Subnetze). Min. Client, Server und AD. Optional weitere Zonen wie eine Management, DMZ oder Entwicklerzone.

2. Neben einem "normalen User" gibt es pro Zonen einen Admin User (z.B. johndoe, adm_johndoe_client, adm_johndoe_server, adm_johndoe_ad).

3. Firewalltechnisch sind Zugriffe zwischen den Zonen eingeschränkt. Dienste dürfen z.B. von Client nach Server / AD genutzt werden, aber Logons von Server / AD Zonen nicht in die Client Zone.

4. In jeder Zone gibt es eine Admin Maschine / Admin-Terminalserver, von dem sich der Admin auf die Maschinen in der Zone einloggen kann, aber nicht in andere Zonen!

5. Die User sind in Gruppen organisiert und berechtigt. Z.b. Alle Server Admins sind in einer Server Admin Gruppe.

Für einzelne Dienste (z.B. Backup Admin, ESX Admin, ... Admin) wird meist der Server-Admin genutzt. D.h. je nach Aufgabe hat ein Serveradmin Rechte auf einzelnen Applikationen und / oder einzelnen Servern.

Link zu diesem Kommentar

Moin,

 

das ist immer eine Frage der Anforderungen und der Möglichkeiten. Ein Konzept mit dedizierten Admin-Workstations zur Absicherung von Admin-Anmeldungen kann Sinn ergeben, man muss aber immer definieren, welches Szenario man absichern will. Und die Prozesse müssen dazu passen.

 

Bei Microsoft gibt es mittlerweile eine ganze Menge dazu, teils mit sehr detaillierten Vorschlägen, was man einschränken kann. Man mache sich aber nichts vor: Das ist sehr großer Aufwand. Wenn der dazu führt, dass die Admins sich dran vorbeimogeln, hat man wenig gewonnen.

 

Gruß, Nils

 

Link zu diesem Kommentar
vor 10 Stunden schrieb daabm:

Such mal nach ESAE bei Microsoft, und pick Dir da das raus, was sich finanziell und organisatorisch bei Euch umsetzen läßt. IMHO am wichtigsten ist die Tier-Trennung, ein DomAdmin meldet sich NIE an einem Client oder Member Server an. Bzw. Member Server geht, wenn der auch zu Tier 0 gehört und entsprechend abgesichert ist.

interessanter Artikel!

Danke für euren Input! :)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...