Jump to content

Zugriffsberechtigungskonzept für Windows Server


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich bin auf der Suche nach einen sinnvollen Konzept wie sich Admins auf einen oder unterschiedliche Windows Server 2016/2019 bewegen sollten?

Aktuell geht jeder mit dem Domain-Admin drauf, das sehe ich aber als riskant. Wäre es sinnvoll lokale Standard User Accounts auf dem Server zu definieren oder doch gleich die privilegierte Zugriffsverwaltung (PAM)?

Link zu diesem Kommentar

Hallo daabm,

danke für deinen Link. Diese Seite habe ich bereits gefunden und denke das ist zu overkill für uns (lass mich aber gerne in meiner Denkweise korrigieren). Wir betreiben nur eine kleine Domäne mit 2x DC, 1x PrintServer & 1x Wsus. Der rest geht alles über Linux Server Systeme.

Wir sind 2-3 Admins in einer 10 Köpfigen Abteilung welche sich ausschließlich auf den Windows Servern bewegen & Aufgaben erledigen (Administrative, Routineaufgaben, etc.)

Ich möchte eig. nur wissen ob man für die verschiedenen Aufgaben unterschiedliche BenutzerAccounts auf den Servern nutzen sollte oder doch alles über z.B. den Dom-Admin was ich wieder kritisch sehe.

Wenn versch. Accounts mit verschiedenen Berechtigungen, dann wäre für mich Interessant welche Accounts mit welchen Berechtigungen für welche Server.

 

Link zu diesem Kommentar

Schau Dir mal insbesondere den ersten Link an - dort wird die Einführung eines Admin Tiers sehr anschaulich erklärt. In kleineren Netzen lässt sich das schnell umsetzen und ist kein "overkill"!

 

https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad-teil-3-admin-tiers/

 

https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/

 

https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad-teil-3-laps/

 

Mit die größte Gefahr sind m.E. Hashes eines Domänenadmin-Kontos auf einer Workstation. Wenn es hier ein Trojaner schafft lokaler Admin zu werden und die zwischengespeicherten Anmeldedaten eines Domänenadmin zur Authentifizierung benutzen kann (Mimikatz) dann ist die gesamte Domain verloren! Deshalb sollte man Domänenadmin-Konten nicht nur nicht auf Workstations verwenden sondern technisch dafür sorgen, dass Sie sich gar nicht erst anmelden / authentifizieren können.

Link zu diesem Kommentar

Je kleiner die Umgebung, um so weniger Aufwand ist das Umsetzen der Tier-Trennung. Auf JEDEN Fall unterschiedliche Accounts für Dom-Admin, Member Server und Work-Client! Das kostat fast gar nix :-)

Wir verrecken daran grad ein wenig, weil es zu viele Satelliten-Systeme gibt, die dann auch Tier-Trennung machen müßten - und das ist zu teuer und überhaupt...

Link zu diesem Kommentar

Vielen Dank an Ebenezer & daabm.

frankysweb ist mir schon durch andere Themen vertraut ich ich werde mir die tech. Umsetzung anschauen & auch hoffentlich umgesetzt bekommen.

 

 

Am 29.11.2019 um 20:51 schrieb daabm:

Je kleiner die Umgebung, um so weniger Aufwand ist das Umsetzen der Tier-Trennung. Auf JEDEN Fall unterschiedliche Accounts für Dom-Admin, Member Server und Work-Client! Das kostat fast gar nix :-)

Wir verrecken daran grad ein wenig, weil es zu viele Satelliten-Systeme gibt, die dann auch Tier-Trennung machen müßten - und das ist zu teuer und überhaupt...

Moin Moin,

was meinst du genau mit Satalliten-Systeme?

Link zu diesem Kommentar

Satteliten-Systeme: Identity Management (Forefront/ITIM/Was auch immer), SCCM/Patchmanagement, Antivirus, Backup und und und... Wenn Du ESAE konsequent umsetzt, mußt Du das alles für Tier 0 noch mal separat aufbauen. Jedes System, das auf einem T0-System einen Agenten steuert, der mit Admin- oder Systemrechten läuft, ist automatisch auch ein T0-System.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...