Jump to content
andrew

Administration von Servern: Best Practices zu Security

Recommended Posts

Hi all

 

Jede und Jeder, welcher für eine IT-Infrastruktur zuständig ist, weiss, dass man mittlerweile viele administrative Tätigkeiten auch via einen Client erledigen kann. 

Schreibe absichtlich via einen Client und NICHT, via den "eigenen" PC. Warum?

 

Beispiel Microsoft

Wie sicher die meisten wissen, gibt es z.B. in Bezug Microsoft die Möglichkeit, auf einen Windows Client die RSAT (remote Server Administration Tools) auf den Client zu pflanzen. Und nun? Nun kann man je nach je diverse Server Rollen administrativ verwalten (z.B. die DHCP Console, oder das Active Directory usw.), welche man pflegen/ darf (je nach je, was die Organisation an internen Sicherheits Richtlinien pflegt?). 

 

Weitet man nun diese Thematik aus, so stellt sich bald die Frage, ob es sicherheitstechnisch "schlau" ist, auf einem oder seinem Client zig administrative Tools zu installieren, damit man dann die Server, welche jetzt in unserem Fall im gleichen Subnetz sind, verwalten zu können?

 

Sicherheit

Ich möchte von euch in Erfahrung bringen, was Ihr so für Praktiken pflegt, was die Vor- und Nachteile sind, in Bezug Sicherheit usw. sind.

Stelle mir z.B. die Frage: Angenommen, ich entscheide mich für eine Lösung, dass jeder Administrator seine, eigene virtuelle Admin Maschine hat (z.B. ein Win10 PC). Macht das Sinn und wenn ja, wie sollte sicherheitstechnisch die Umgebung aussehen, müssten die Admin PCs (VMs) gehärtet sein, in einem separaten Subnetz?

 

Habe ich Sie in einem separaten Subnetz und öffne dann zig Ports, damit ich schlussendlich doch am Schluss zugriff auf die Serversysteme erhalte, um diese administrativ verwalten zu können - macht ein solches Szenario Sinn?

 

Sinnvoll | Nutzen?

Macht es mehr Sinn, eine Art Terminal Server zu betreiben mit Terminal Server Lizenzen?

Dann hätte man anstatt 3 virtuelle PCs, einen Server (vielleicht auch nur mit minimalen Rollen installiert) und würde auf diesem ALLE Tools instlalieren, welche es braucht und würde immer dann, wenn man die Server administieren möchte, sich auf diesen "Jumping Server" verbinden (dieser müsste dann wohl auch in einem anderen Netz sein?)

 

So, die Dikussion ist eröffnet, finde persönlich dieses Thema sehr spannend und freue mich extrem auf euren Input - go for it :-)

 

cheers

André

Share this post


Link to post
Share on other sites

Wir nutzen genau für diesen Zweck einen Terminalserver.

Allerdings: "If you have to repeate ist, script it" oder so. 

Für powershellautomatisierung gibt's einen extra scriptinghost. Die meistens scripts rufen ihre inputdaten per REST-Api ab, welche durch das Ticketsystem erzeugt werden. 

Um neue User anzulegen füllt man z. B. Ein Webformular aus(Vorname, Nachname, Abteilung etc) und ein PS-Script macht dann die Magie. Alle 5Minuten läuft das. Ist es fertig landet ein Infozettel im Drucker, welchen man dem neuen Mitarbeiter In die Hand drückt(den Zettel, nicht den Drucker) . Derzeit überlegen wir, diesen Zettel per PDF ans jeweilige Sekretariat per Mail zu verschicken und das Formular automatisch aus der Personalverwaltung befüllen zu lassen. 

Share this post


Link to post
Share on other sites

ok, die Sache mit "if you have to repeate it, script it" hört sich gut an.

Bezogen auf unsere Infrastruktur und die Administration von Servern spreche ich mehr folgende Bereiche an und suche auch entsprechende Lösungsansätze hier im Board:

 

Wir haben zig Windows Server, alle virtueller Natur auf Basis VMware.  Dazu gehört einerseits die

 

Windowsumgebung (Serverseitig, Client seitig, physikalisch wie virtuell)

- Active Directory

- sonstige Windows bezogene Dienste wie DHCP (2 Server), Fileserver oder Windows Patchmanagement (WSUS)

 

Dritthersteller Tools

- Software Verteilung

- Sicherheitslösung von Kaspersky (Security Center) (kann oder könnte auch via Web Console, sprich, via Browser aufgerufen werden, z.B. von einem Client aus)

- Monitoring Tool vom Veeam (glaube, es ist gratis). Erlaubt das Monitoren z.B. von Windows Servern, Speicherplatz der Festplatten Überwachung usw.

- Support Tools für die Hauptaplikation, welche bei uns im Geschäft von den Angestellten verwendet wird.

 

Nun, dass man den Admins im ICT-Team z.B. so genannte Admin PCs (virtuelle Windows 10 Maschinen) mit all den Admin Tools installiert und zur Verfügung stellt, finde ich persönlich nicht so sexy.

Wenn es nach mir geht, dürfen z.B. eine

 

- Software Verteilungs Software auf meinem Client System laufen. Öffne dieses Tool, dieses verbindet sich mit dem Server und fertig. Habe die grafische Oberfläche offen, kann mit der Software Verteilung schaffen und gut ist.

- Wenn es um die Verwaltung von Windows Diensten, kann man z.B. das RSAT auf dem eigenen Windows 10 PC installieren und für bestimmte, adminstrative Dinge wie auf die Active Directory Konsole zugreifen, lokal auf meiner Kiste ausführen. Für das sind ja die RSAT Tools extra entwickelt worden. Wäre auch in meinem Sinn.

- Wenn es darum geht, den Kaspersky Server zu verwalten, so könnte ich z.b. via Browser eine Verbindfung mit dem Kaspersky Security Center herstellen und diesen auch lokal via meine Wndows 10 Kiste verwalten.

 

Man kann also demnach sehr vieles lokal von der eigenen Windows 10 Kiste aus administrativer Natur verwalten.

Die Frage dabei, welche ich mir halte stelle ist, wie sieht es Security mässig aus? 

 

Ist eine solche Art zu arbeiten im ICT-Teeam so gang und gäbe oder habt Ihr in euren Umgebungen aus bestimmten Gründen (Security technisch oder so) genau ein solches Arbeiten verboeten oder sieht eure Firma ein anderes Arbeiten vor?

 

Eben, wir haben es gehört, z.B. habt Ihr hierfür extra einen Terminal Server, auf welchem die ganzen administrativen Konsolen installiert sind und wenn ihr extra was an eurem Servern, oder sonst irgendwie überwachen/ überprüfen müsst, dann verbindet Ihr Admins euch alle gleichzeitig auf den Terminal Server und macht, was es zu machen gibt oder wie jetzt? :-)

 

Oder gibtes es hier im Forum stimmen, die finden, hey, die Idee, jedem Admin eine virtuelle Windows 10 Büchse mit dem genazen Karsumpel darauf zur Verfügung zu stellen die Beste Idee?

Wenn ja, warum und wieso?

 

Ich finde diese Idee nicht gut, ich finde, warum soll ich extra eine Admin Maschine auf VM Basis erhalten?

Das Thema ist auch, wenn ich z.B. via Home Office arbeite, dann verbinde ich mich via VMware View auf einen virtuellen Pool mit Windows 10 Maschinen.

 

Dieser ist für die Leute, welche von zu Hause aus Home Office machen und so konfiguriert, dass er im Minimum alle Tools etc. beinhaltet, welche eine Mitarbeiterin/ ein Mitarbeiter braucht, damit er produktiv von zu Hause aus arbeiten kann.

 

Wenn jetzt ich als Admin mich von zu Hause aus auf diesen, virtuellen Pool verbinde, dann ist klar, dass ich auf einer solchen virtuellen, Windows 10 Maschine (so wie Sie zurzeit konfiguriert sind), keine administrativen Tools für die Verwaltung von Servern zu Verfügung habe.

 

Ich müsste mich dann entweder auf meinen physikalischen PC per RDP verbinden, welcher ja nicht läuft (gut, ich könnte ich per Wake on LAN aufwecken), oder ich müsste mich eben auf eine, administratrive Windows Maschine verbinden, weil dort alle Tools, RDP Tool mit allen Servern drin sind usw.

 

Aber ich könnte ja auch diverse Tools für die Verwaltung von Servern in diesem virtuellen Home Office Pool (Windows 10 Maschinen) zur Verfügung stellen, was spricht dagegen?

Dass plötzlich ein Mitarbieter X auf die Idee kommen könnte, irgendwie via ein solches Tool "herumspielen zu wollen" ?

 

Dieser virtuelle Home Office Pool ist zwar in einem anderen Subnetz als unsere produkte Client uns Serverumgebung (Server und Clients sind im gleichen Netz), jedoch ist es mir schon jetzt z.b. möglich, via disen Home Office Pool z.b. eine RDP Verbindung auf den Server xy herzustellen. also insofern könnte ja ein Benutzer schon jetzt wenn er möchte, Schaden anrichten bzw. es zumindest versuchen (wobei: er bräuchte ja noch einen Admin Benutzer, welcher auf dem Server xy berechtigt wäre), RDP aurfuen könnte er auch vom Geschäft aus, von seinem physikalischen PC aus. 

 

Ja, in diese Richtungen gehen meine Überlegungen und Fragen, wie man am sichersten und effizietesten die ganze Geschichte mit der Administration von Servern aufgleist :-)

Share this post


Link to post
Share on other sites

Der Vorteil des zentralen Server ist, man muss alles nur einmal installieren. Man muss dann auch nur alles einmal update etc. Vertretungen sind einfacher weil die Tools alles admins zur Verfügung stehen. Auf physikalscien PCs haben wir nur die allernotwendigsten Dinge drauf um im Fall der Fälle den Admin-Server wieder hochzubekommen.

 

Bei Physikalischen Maschinen gehen wir immer davon aus, die sind im Fall der Fälle defekt. VDI haben wir nicht, deswegen auch keine Lizenzen für virtuelle ClientOS. Dank Windows Server Datacenter und Vmware mit genügen Ressourcen fahren wir halt alles auf ServerOS. Da bietet sich die RDS-Rolle in solchen Fällen gerade zu an.

 

Dein VMware View sollte dich auch mit einem Terminalserver statt einem Win10 verbinden können.

 

RDP auf Server ist außer bei der Installation nicht nötig. Dazu sind dann auch nur ganz bestimmte User authorisiert und diese Zugriffe werden gemonitored.

Das Ziel ist es tatsächlich so viel wie nur irgendwie möglich per Webformular und Script abzufangen. So braucht im täglichen Leben der admin keinen Zugriff auf die AD und er muss auch keine Ahnung haben.

 

Share this post


Link to post
Share on other sites

Hallo daabm

 

Scheint ein interessanter Artikel zu sein, muss Ihn jedoch einmal in Ruhe durchlesen, ist etwas viel Material und verstehen muss man die Materie dann auch noch, nicht wahr.

Wendest Du/ Ihr, sprich deine Firma, in welcher Du tätig bist, dieses Modell an?

Share this post


Link to post
Share on other sites

Wir arbeiten daran ;-) Das ist nichts, was man mal eben so einführt... TL;DR: Man redet sich den Mund fusselig bei vielen - "das ist doch lästig", "das hat doch bisher auch funktioniert" usw... Als Kompromiss bleibt dann meist nur, das soweit möglich im eigenen Verantwortungsbereich umzusetzen (was wir tun) und zu hoffen, daß der Rest den Sinn versteht, bevor (!) was passiert.

  • Like 1

Share this post


Link to post
Share on other sites

schaut hier ähnlich aus.

b***d ist, wenn im eigenen Team einer Quertreibt weil, "wir machen das schon immer so"...

Wo ich kann setze ich das alles wie geplant um. Wer daran vorbei arbeitet, der muss das im Fall der Fälle auch verantworten. Wer das als Vorgesetzter durchgehen lässt, für den gilt das gleiche.

 

Share this post


Link to post
Share on other sites

;-) Wir haben grad ne neue AD-Infrastruktur im Aufbau. Da klopp ich immer direkt alles sofort rein, was irgendwie Sicherheit erhöht. LDAP Signing enforced eh, AES256 für Kerberos, NTLM blocking und noch so ne Handvoll globale Settings, die vielen echt Aufwand machen. Aber diese vielen haben sich darum die letzten 15 Jahre nicht gekümmert, und das geht einfach nicht mehr... :scream:

Edited by daabm
  • Like 4

Share this post


Link to post
Share on other sites

Hi all

 

Finde ich einen guten Ansatz, Sicherheitsmassnahmen wo immer möglich, umzusetzen.

 

Weisst Du/ Ihr, wie ihr in Zukunft (wenn nicht schon umgesetzt) die Administration von Servern handhabt, sprich, wo und wie Ihr die administrativen Tools installieren werdet und wie der Zugriff/ die Zugriffe auf die Server konkret erfolgen soll? :-)

 

cheers

André

Share this post


Link to post
Share on other sites

Aktuell läuft es auf Sprungserver raus (RDP), auf denen dann entweder die Admin-Tools vorhanden sind oder ein weiterer RDP-Jump erfolgt.

Share this post


Link to post
Share on other sites

Hier steht eh alles in separaten VLANs (und damit auch IP-Netzen) - DCs, Sprungserver, VM-Hosts, SQL (bei VM und SQL sogar noch unterteilt) - jeder hat sein Netz. Riesen Herausforderung für die Netzwerker, aber ganz praktisch insgesamt.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...