Jump to content

WindowsRM einschränken


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

um einige Sachen per PowerShell zu kontrollieren, müsste ich Windows RM auf den Clients aktivieren.

Ich habe bisher nur die Möglichkeit gefunden, gewisse IPs darauf zugreifen zu lassen.

 

Ich stelle mir nun die Frage, ob man das noch weiter absichern kann? Per Zertifikat, durch "Zugriff nur von Benutzer X" oder ähnliches?

 

bearbeitet von RainerZu
Link zu diesem Kommentar

1. winrm over https ist sehr empfehlenswert

https://support.microsoft.com/en-us/help/2019527/how-to-configure-winrm-for-https

 

2. für jeden Client einen eigenen Admin-Account verwenden, um lateral movement vorzubeugen

https://www.lastline.com/blog/lateral-movement-what-it-is-and-how-to-block-it/

 

3. Powershell selbst solltest du unbedingt absichern

https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode/

https://www.tenforums.com/tutorials/111654-enable-disable-windows-powershell-2-0-windows-10-a.html

- es gibt etliche weitere, sehr zu empfehlende Möglichkeiten, bitte selbst googeln.

 

bearbeitet von SandyB
Link zu diesem Kommentar
13 hours ago, SandyB said:

2. für jeden Client einen eigenen Admin-Account verwenden, um lateral movement vorzubeugen

https://www.lastline.com/blog/lateral-movement-what-it-is-and-how-to-block-it/

Für jeden Client wäre übertrieben. Hier geht es eher darum für jede Zone (Clients, Servers, AD, DMZ) eigene Admin Accounts zu nutzen.

Wenn man 1000 Clients hat bräuchte jeder Admin 1000 Client-Admin-User.

Wenn man ein PAM (Privileged Account Management) nutzt kann man das umsetzen, aber manuell nicht.

Link zu diesem Kommentar
Am 25.1.2020 um 11:52 schrieb Dukel:

Wenn man 1000 Clients hat bräuchte jeder Admin 1000 Client-Admin-User.

Mir würde sich der Magen drehen, wenn ein und derselbe Account auf 1000 Clients für administrative Aufgaben genutzt wird. Womöglich noch mit RDP und unrestricted Credentials.

PAM ist für dieses Szenario m.E. ungeeignet bzw. überdimensioniert.

bearbeitet von SandyB
Link zu diesem Kommentar
Am 24.1.2020 um 22:41 schrieb SandyB:

1. winrm over https ist sehr empfehlenswert

https://support.microsoft.com/en-us/help/2019527/how-to-configure-winrm-for-https

 

2. für jeden Client einen eigenen Admin-Account verwenden, um lateral movement vorzubeugen

https://www.lastline.com/blog/lateral-movement-what-it-is-and-how-to-block-it/

 

3. Powershell selbst solltest du unbedingt absichern

https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode/

https://www.tenforums.com/tutorials/111654-enable-disable-windows-powershell-2-0-windows-10-a.html

- es gibt etliche weitere, sehr zu empfehlende Möglichkeiten, bitte selbst googeln.

 

Das sind sehr gute Hinweise, vielen Dank.

Das Thema Powershell bzw. tiefere Windows-Administration ist noch recht neu für mich. Ich komme eher aus der Linux-Ecke ;)

 

Zum Thema lateral movement bzw. Admin-Accounts nur für jede Zone.... wir sind gerade dabei das von MS vorgeschlagene Admin-Tiering umzusetzen.

Die Clients bekommen tatsächlich (bzw haben schon) alle einen eigenen lokalen Account. Geplant ist, aber eventuell noch eine Umstellung auf LAPS. Die Domäne-Admins können nur auf der Tier0(Server) benutzt werden und Zugriffe sind auch nur aus der Tier0 zugelassen. Für Domäne-Beitritt gibt es einen speziellen Account.

bearbeitet von RainerZu
Link zu diesem Kommentar

Freut mich! Schau dir mal diese Seite zu WinRM an.

https://attack.mitre.org/techniques/T1028/

Hier findest du eine Menge guter Links zu WinRM (Attacks, Mitigations).

 

Bisher noch nicht zur Sprache gekommen ist Detection/ Monitoring. Da kein Schutz perfekt ist, kommt diesem Kapitel ebenfalls ein wichtige Rolle zu. (siehe auch die wieterführenden Links auf der Seite)

Vielleicht beschreibst du mal ganz grob dein Netzwerk: Größe, wo ihr mit der Sicherheit hinwollt, etc

 

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...