Jump to content

Probleme Windows Server 2012 Domäne mit Win 10 19041


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Vielen Dank euch allen. Na das wird ja ein Spaß. ;-)

 

Wobei: Ist das Ausgangsproblem mit dem Client mit der aktuellsten Win 10 Version nun ein Sicherheitsfeature, oder ist auf dem Client einfach etwas verbogen?

 

Nebenbei erwähnt: Ich möchte nicht wissen, wie oft das nicht so wie im Link beschrieben umgesetzt ist... Sprich -> Domänenadmin wird für alle Adminaufgaben verwendet.

bearbeitet von mcdaniels
Link zu diesem Kommentar
vor 8 Minuten schrieb NorbertFe:

Schwer möglich beim built-in Admin.

Hab ich jetzt nicht rausgelesen. Macht das ganze nicht besser. Den Rest kann er noch umsetzen.


Ein Pentester hat bei einem Freund den Domänen-Admin mehrmals in 1,5 Tagen fallen gelassen. Windows-Sicherheit ist ein Prozess, keine einmalige Einstellung. :)

bearbeitet von MurdocX
Link zu diesem Kommentar
vor 8 Minuten schrieb NorbertFe:

Und das bedeutet was für deine Umgebung? ;)

...dass mir das jetzt gar nicht passt, wie das aktuell eingerichtet ist. ;)

...dass ich das jedenfalls angehen will...

...dass ich hoffe, dass der Arbeitstag bald 48 Stunden hat....

 

Nachsatz:

...dass ich anfange zu hoffen, dass ich  nix verbiege. ;)

 

bearbeitet von mcdaniels
Link zu diesem Kommentar
vor 13 Minuten schrieb NorbertFe:

Hat er doch. Der Tag hat 24h und die Nacht nochmal 12h und nachmittags sind auch noch 6h genau wie vormittags. ;)

Stimmt, daran habe ich noch gar nicht gedacht. *lach*

 

So ich habe jetzt zumindest mal die AD Gruppe erstellt.

Einen neuen User erstellt, der in der Gruppe ist.

Eine Test-Group-Policy bzgl. Group Policy Preferences angepasst (lokale Benutzer und Gruppen -> Administratoren (integriert) -> Die Client-Admin-Gruppe hinzugefügt)

 

Morgen schau ich dann ob diese Anpassung auf den Testclients ankommt. Danach werd ich mich nochmals eingehend mit der Konfiguration lt. Blogartikel beschäftigen. Ich mein, jetzt wo der Tag ja eh 48 Stunden hat.... Danke @NorbertFe :-P

 

Vielen Dank nochmal. Vor allem für den Link und die zusätzliche Erklärung!

 

Was auf dem einen Client diese Situation ausgelöst hat, ist aber nach wie vor unklar... ;)

 

 

vor 41 Minuten schrieb MurdocX:

Ein Pentester hat bei einem Freund den Domänen-Admin mehrmals in 1,5 Tagen fallen gelassen.

...was meinst du mit "fallen gelassen" ?

bearbeitet von mcdaniels
Link zu diesem Kommentar
vor 6 Minuten schrieb mcdaniels:

...was meinst du mit "fallen gelassen" ?

Das war symbolisch für die Dame auf dem Schachbrett. In einem Fall hat er sich den Hash eines Domänen-Admins auf einem Client geschnappt und konnte sich dann damit am DC anmelden. Einmalige Anmeldung an einem Client reicht um sich das Bein zu stellen. Der Klassiker. Deshalb der deutliche Hinweis der Kollegen hier, zur Erklärung.

Link zu diesem Kommentar
vor 49 Minuten schrieb mcdaniels:

Wobei: Ist das Ausgangsproblem mit dem Client mit der aktuellsten Win 10 Version nun ein Sicherheitsfeature, oder ist auf dem Client einfach etwas verbogen?

 

Das weiß von uns niemand, da wir nicht wissen, wie Deine Domäne aussieht. Hier werden alle (!) lokalen Benutzerrechte (47 Stück, in der Tat) und Gruppenmitgliedschaften per GPO durchgesetzt, lokale Änderungen sind durch lokale Admins zwar möglich (geht auch nicht zu verhindern, Admin ist Admin), aber nicht persistent. Ob das bei Dir auch so ist? Warum sollte ein Domain Admin bei Dir in den lokalen Admins drin sein - oder warum sollte er das nicht? Ich kann es nicht sagen.

vor 4 Minuten schrieb MurdocX:

Einmalige Anmeldung an einem Client reicht um sich das Bein zu stellen.

Ja, Klassiker. Ameisenlöwe - Loch graben, reinlegen, auf Beute warten :-) Sofortige Minimalprävention: Cached Credentials auf 1 runtersetzen. Aber halt nur minimal. Besser siehe oben, Deny logon locally.

Link zu diesem Kommentar
vor 17 Minuten schrieb daabm:

Das weiß von uns niemand, da wir nicht wissen, wie Deine Domäne aussieht. Hier werden alle (!) lokalen Benutzerrechte (47 Stück, in der Tat) und Gruppenmitgliedschaften per GPO durchgesetzt, lokale Änderungen sind durch lokale Admins zwar möglich (geht auch nicht zu verhindern, Admin ist Admin), aber nicht persistent. Ob das bei Dir auch so ist? Warum sollte ein Domain Admin bei Dir in den lokalen Admins drin sein - oder warum sollte er das nicht? Ich kann es nicht sagen.

Der Punkt war der: Es hat alles funktioniert, bis ich heute das aktuellste Windows 10 auf diesem einen Client installiert hab. Ich habe bezüglich die lokalen Gruppen / Benutzer (auf den PC) nie etwas modifiziert. Den Domänen-Admin und die Gruppenzuordnungen in der Domäne gibt es, seit die Domäne besteht. (Die Standardgruppen wurden nicht adaptiert).  Deshalb hats mich halt so gewundert.

 

vor 17 Minuten schrieb daabm:

Ja, Klassiker. Ameisenlöwe - Loch graben, reinlegen, auf Beute warten :-) Sofortige Minimalprävention: Cached Credentials auf 1 runtersetzen. Aber halt nur minimal. Besser siehe oben, Deny logon locally.

 

vor 20 Minuten schrieb MurdocX:

Das war symbolisch für die Dame auf dem Schachbrett. In einem Fall hat er sich den Hash eines Domänen-Admins auf einem Client geschnappt und konnte sich dann damit am DC anmelden. Einmalige Anmeldung an einem Client reicht um sich das Bein zu stellen. Der Klassiker. Deshalb der deutliche Hinweis der Kollegen hier, zur Erklärung.

Wahnsinn...

 

Wäre dann wohl zb auch im Falle von div. Cryptolockern der Fall, die ja auch so arbeiten (Passwörter etc. abgreifen ev. auch über den Hash (oder gar keylogger) -> Domänenadmin -> dann gute Nacht).

 

Deshalb wärs ja nicht schlecht, wenn man im Betrieb einen Spezialisten hat, der sich nur mit derartigen Dingen beschäftigt. Sicherheit, Hardening etc. Als eierlegender-Wollmilchsau-Admin ist das halt schwierig. (Extrem breites Spektrum, das es abzudecken gilt). Soll jetzt keine Entschuldigung sein. Ist einfach schwer, immer vorne dabei zu bleiben. Wie @MurdocX sagt ist das alles ein laufender Prozess...

 

Danke für die Warnung! (Im Nachhinein gedacht, hätte ich da aber auch selbst draufkommen können).

bearbeitet von mcdaniels
Link zu diesem Kommentar
vor 8 Minuten schrieb daabm:

Ja, Klassiker. Ameisenlöwe - Loch graben, reinlegen, auf Beute warten :-) Sofortige Minimalprävention: Cached Credentials auf 1 runtersetzen. Aber halt nur minimal. Besser siehe oben, Deny logon locally.

Wenn das noch neber einem Ameisenbau macht, könnte es ein leckeres Festmal werden :-) Wobei er sich das Graben beim offensichtlichen auch ersparen könnte.

 

Ich versuche das auch zusätzlich über Tiers noch zu erschweren. Das AD-Konzept ist halt nun mal älter als 20 Jahre.

Link zu diesem Kommentar

Über Tiers müssen wir hier glaub noch nicht reden, ich hab das inzwischen verinnerlicht :-) AD ist kein Konzept, nur ein Produkt. Die Konzepte entwickeln sich, und ESAE sieht aktuell nicht soo schlecht aus.

 

Wenn man die Tier-Trennung durchhält, ist es brauchbar. Und bisher sieht es sehr danach aus. Unser Hauptproblem aktuell: Das IDM, das alle Non-Domain Admins provisioniert, kann pro User nur einen Account - manche bräuchten aber mehrere (Clients, Terminal Server, SQL-Server). "Toxische Rechte-Kombination" nennt man das dann... Dom-Admins werden nur manuell provisioniert, ohne IDM -> ein Einfallstor weniger. Und man sollte natürlich keine Angst haben vor Umfeldern mit Duzenden Domains und Forests :D

Link zu diesem Kommentar
vor 3 Minuten schrieb mcdaniels:

Soll jetzt keine Entschuldigung sein.

Muss es auch nicht. Meiner Meinung nach ist der „Admin“ breit gefächert. Da braucht es einfach einen der nur im Bereich Sicherheit arbeitet. Für kleine und mittelständische Firmen ist es schwer, denn das Bewusstsein auf geschäftlicher Ebene für Sicherheit im Allgemeinen fehlt oder wird unterbewertet. 

vor 2 Minuten schrieb daabm:

Und man sollte natürlich keine Angst haben vor Umfeldern mit Duzenden Domains und Forests :D

Gibs zu, Du würdest dich doch nie wieder mit kleinere Umgebungen abgeben wollen :grins1::aetsch:

Link zu diesem Kommentar
vor 4 Minuten schrieb MurdocX:

Muss es auch nicht. Meiner Meinung nach ist der „Admin“ breit gefächert. Da braucht es einfach einen der nur im Bereich Sicherheit arbeitet. Für kleine und mittelständische Firmen ist es schwer, denn das Bewusstsein auf geschäftlicher Ebene für Sicherheit im Allgemeinen fehlt oder wird unterbewertet. 

Das wäre schön, wenn man sojemanden hätte.  :-) Ich mach halt so gut wie alles allein und wir sind nicht ganz so klein. Wie du sagst: Das Bewusstsein für Sicherheit wird unterbewertet. Das Drama dabei ist, dass -selbst wenn man es klipp und klar auf den Tisch bringt - heißts oft... Wieso... ? Geht ja eh alles. Diese Einstellung werde ich aber in diesem -meinem- Leben nicht mehr ändern können. ;-) ich muss nur das mir mögliche Maximum rausholen und schauen, dass die "Hütte" läuft.

bearbeitet von mcdaniels
Link zu diesem Kommentar
vor 13 Minuten schrieb mcdaniels:

Wäre dann wohl zb auch im Falle von div. Cryptolockern der Fall, die ja auch so arbeiten (Passwörter etc. abgreifen ev. auch über den Hash (oder gar keylogger) -> Domänenadmin -> dann gute Nacht).

AppLocker oder Software Restriction Policies (SRP) sind eine gute Gegenmaßnahme. Erstaunlich günstig (da in Windows enthalten), erstaunlich einfach "grundlegend" zu konfigurieren, erstaunlich wirksam. Dazu noch anständige Makro-Policies für Office und der Fisch ist im wesentlichen geputzt. Bei c't gibt's sogar ein Standalone-Utility für SRP.

bearbeitet von daabm
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...