Jump to content
don_stephano

Zugriffsberechtigungskonzept für Windows Server

Recommended Posts

Hallo,

 

ich bin auf der Suche nach einen sinnvollen Konzept wie sich Admins auf einen oder unterschiedliche Windows Server 2016/2019 bewegen sollten?

Aktuell geht jeder mit dem Domain-Admin drauf, das sehe ich aber als riskant. Wäre es sinnvoll lokale Standard User Accounts auf dem Server zu definieren oder doch gleich die privilegierte Zugriffsverwaltung (PAM)?

Share this post


Link to post
Share on other sites

Hallo daabm,

danke für deinen Link. Diese Seite habe ich bereits gefunden und denke das ist zu overkill für uns (lass mich aber gerne in meiner Denkweise korrigieren). Wir betreiben nur eine kleine Domäne mit 2x DC, 1x PrintServer & 1x Wsus. Der rest geht alles über Linux Server Systeme.

Wir sind 2-3 Admins in einer 10 Köpfigen Abteilung welche sich ausschließlich auf den Windows Servern bewegen & Aufgaben erledigen (Administrative, Routineaufgaben, etc.)

Ich möchte eig. nur wissen ob man für die verschiedenen Aufgaben unterschiedliche BenutzerAccounts auf den Servern nutzen sollte oder doch alles über z.B. den Dom-Admin was ich wieder kritisch sehe.

Wenn versch. Accounts mit verschiedenen Berechtigungen, dann wäre für mich Interessant welche Accounts mit welchen Berechtigungen für welche Server.

 

Share this post


Link to post
Share on other sites

Schau Dir mal insbesondere den ersten Link an - dort wird die Einführung eines Admin Tiers sehr anschaulich erklärt. In kleineren Netzen lässt sich das schnell umsetzen und ist kein "overkill"!

 

https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad-teil-3-admin-tiers/

 

https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/

 

https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad-teil-3-laps/

 

Mit die größte Gefahr sind m.E. Hashes eines Domänenadmin-Kontos auf einer Workstation. Wenn es hier ein Trojaner schafft lokaler Admin zu werden und die zwischengespeicherten Anmeldedaten eines Domänenadmin zur Authentifizierung benutzen kann (Mimikatz) dann ist die gesamte Domain verloren! Deshalb sollte man Domänenadmin-Konten nicht nur nicht auf Workstations verwenden sondern technisch dafür sorgen, dass Sie sich gar nicht erst anmelden / authentifizieren können.

Share this post


Link to post
Share on other sites

Je kleiner die Umgebung, um so weniger Aufwand ist das Umsetzen der Tier-Trennung. Auf JEDEN Fall unterschiedliche Accounts für Dom-Admin, Member Server und Work-Client! Das kostat fast gar nix :-)

Wir verrecken daran grad ein wenig, weil es zu viele Satelliten-Systeme gibt, die dann auch Tier-Trennung machen müßten - und das ist zu teuer und überhaupt...

Share this post


Link to post
Share on other sites

Vielen Dank an Ebenezer & daabm.

frankysweb ist mir schon durch andere Themen vertraut ich ich werde mir die tech. Umsetzung anschauen & auch hoffentlich umgesetzt bekommen.

 

 

Am 29.11.2019 um 20:51 schrieb daabm:

Je kleiner die Umgebung, um so weniger Aufwand ist das Umsetzen der Tier-Trennung. Auf JEDEN Fall unterschiedliche Accounts für Dom-Admin, Member Server und Work-Client! Das kostat fast gar nix :-)

Wir verrecken daran grad ein wenig, weil es zu viele Satelliten-Systeme gibt, die dann auch Tier-Trennung machen müßten - und das ist zu teuer und überhaupt...

Moin Moin,

was meinst du genau mit Satalliten-Systeme?

Share this post


Link to post
Share on other sites

Satteliten-Systeme: Identity Management (Forefront/ITIM/Was auch immer), SCCM/Patchmanagement, Antivirus, Backup und und und... Wenn Du ESAE konsequent umsetzt, mußt Du das alles für Tier 0 noch mal separat aufbauen. Jedes System, das auf einem T0-System einen Agenten steuert, der mit Admin- oder Systemrechten läuft, ist automatisch auch ein T0-System.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...