Jump to content
al3x

zentrale Administration / Pass-the-Hash

Recommended Posts

Hallo in die Runde.

 

Mich würde mal interessieren wie euer Konzept für die Administration der Systeme aussieht, wie ihr sicherheitstechnisch eure Remote-Sessions realisiert!?

Gerade in Bezug auf das Thema Pass-the-Hash bzw. Eingabe von Admin-PWs an einem x-beliebigen Client.

 

Wir haben momentan folgendende Konstellation (fast) umgesetzt:

 

Client-PCs (in Subnet A):

Es existiert an jedem PC ein lokales Admin-Konto mit individuellem PW, umgesetzt mittels LAPS

 

Admin-PCs (in Subnet A):

=mit Software aufgebohrte StandardClients, die per RDP auf die Client-PCs (lok. Admin) können und auf den Admin-Server

 

Admin-Server (in Subnet B):

=Member-Server mit Windows Admin Center und den RSAT

Jeder Admin meldet sich mit seinem Dom.User dort an und kann dann alle Server per WinAdminCenter oder nRemote (RDP) administrieren.

 

 

 

LAPS ist natürlich nervig, wenn man unterwegs ist und sich mal eben lokal als Admin an einer Maschine anmelden will/muss.

Bisher griffen die Admins jeweils von ihrem Arbeitsplatz-PC direkt per RDP auf die einzelnen Server zu.

 

 

Was haltet ihr davon? Verbesserungsvorschläge?

Share this post


Link to post
Share on other sites

Wieso Lokale Admins?

 

Wir haben bei Kunden folgendes System eingeführt.

1. Mehr Zonen (Subnetze). Min. Client, Server und AD. Optional weitere Zonen wie eine Management, DMZ oder Entwicklerzone.

2. Neben einem "normalen User" gibt es pro Zonen einen Admin User (z.B. johndoe, adm_johndoe_client, adm_johndoe_server, adm_johndoe_ad).

3. Firewalltechnisch sind Zugriffe zwischen den Zonen eingeschränkt. Dienste dürfen z.B. von Client nach Server / AD genutzt werden, aber Logons von Server / AD Zonen nicht in die Client Zone.

4. In jeder Zone gibt es eine Admin Maschine / Admin-Terminalserver, von dem sich der Admin auf die Maschinen in der Zone einloggen kann, aber nicht in andere Zonen!

5. Die User sind in Gruppen organisiert und berechtigt. Z.b. Alle Server Admins sind in einer Server Admin Gruppe.

Für einzelne Dienste (z.B. Backup Admin, ESX Admin, ... Admin) wird meist der Server-Admin genutzt. D.h. je nach Aufgabe hat ein Serveradmin Rechte auf einzelnen Applikationen und / oder einzelnen Servern.

Share this post


Link to post
Share on other sites

Moin,

 

das ist immer eine Frage der Anforderungen und der Möglichkeiten. Ein Konzept mit dedizierten Admin-Workstations zur Absicherung von Admin-Anmeldungen kann Sinn ergeben, man muss aber immer definieren, welches Szenario man absichern will. Und die Prozesse müssen dazu passen.

 

Bei Microsoft gibt es mittlerweile eine ganze Menge dazu, teils mit sehr detaillierten Vorschlägen, was man einschränken kann. Man mache sich aber nichts vor: Das ist sehr großer Aufwand. Wenn der dazu führt, dass die Admins sich dran vorbeimogeln, hat man wenig gewonnen.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Such mal nach ESAE bei Microsoft, und pick Dir da das raus, was sich finanziell und organisatorisch bei Euch umsetzen läßt. IMHO am wichtigsten ist die Tier-Trennung, ein DomAdmin meldet sich NIE an einem Client oder Member Server an. Bzw. Member Server geht, wenn der auch zu Tier 0 gehört und entsprechend abgesichert ist.

Share this post


Link to post
Share on other sites
vor 10 Stunden schrieb daabm:

Such mal nach ESAE bei Microsoft, und pick Dir da das raus, was sich finanziell und organisatorisch bei Euch umsetzen läßt. IMHO am wichtigsten ist die Tier-Trennung, ein DomAdmin meldet sich NIE an einem Client oder Member Server an. Bzw. Member Server geht, wenn der auch zu Tier 0 gehört und entsprechend abgesichert ist.

interessanter Artikel!

Danke für euren Input! :)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...