Jump to content

Adminhost, Jump-Server, PAW, oder SAW


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,
Microsoft selbst empfiehlt ja die Nutzung dedizierter Maschinen für die administrative Verwaltung.
https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/privileged-access-workstations


Dazu existieren verschiedene Begrifflichkeiten um die Verwirrung komplett zu machen.

 

Wir haben uns für die Variante Admin-Host bzw. Jump-Host entschieden.
Jeder Admin hat seine eigene Server 2019 VM, die nicht Mitglied der Domäne ist, auf einem ESX.
Die VM wurde mit den Microsoft Security Baseline gehärtet.

 

Darin sind einige Tools und ein RDP-Manager. Auf diese Maschine wird per VMWware-Konsole zugegriffen.

 

Mich würde interessieren, wie ihr das umgesetzt habt bzw. damit arbeitet?
Spricht etwas dafür- bzw. dagegen, dass ein Adminhost nicht Mitglied der Domäne ist?

 

MfG

bleibt gesund!

bearbeitet von michelo82
Link zu diesem Kommentar

Moin,

 

ist die ESX-Umgebung dieselbe, auf der auch die produktiven Maschinen laufen? Streng genommen wäre auch das eine Vermischung der Sicherheitsbereiche. Es gibt immer mal wieder Bugs im Hypervisor (egal welcher), die einen Übergriff aus der VM auf die Host-Ebene erlauben.

 

Das heißt nicht, dass dieser Aufbau ausscheidet. Das Risiko wäre aber zu bewerten und zu dokumentieren.

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar

Diejenigen die auf die Adminmaschinen Zugriff haben, haben ebenso Zugriff auf die VMWare Umgebung - es ist der gleiche Personenkreis. Wir vertrauen uns.

Wird das Passwort bei RDP zwischengespeichert? Das spricht dann dagegen. Da bin ich mir aber gerade nicht sicher.

 

Ich habe bis jetzt noch nichts nachteiliges festgestellt, wenn die VM kein Domänenmitglied ist. Sinn war, dass die Maschine so immer autark betrieben werden kann, auch wenn die Domäne nicht verfügbar wäre (Disaster).

 

EDIT:

vor 6 Minuten schrieb NilsK:

ist die ESX-Umgebung dieselbe, auf der auch die produktiven Maschinen laufen?

Vorläufig ja. Da wir nicht die (zeitlichen) Ressourcen haben einen weiteren Host bereitzustellen. Aber das zu ändern, habe ich bereits im Hinterkopf.

 

Wenn man es ganz genau nimmt müsste ja nach dem PAW/SAW Prinzip, ein separater physicher Admin-PC in einem abgesperrten Raum stehen. Das ist nur im Alltag garnicht umzusetzen.

 

Ein dedizierte Admin-VM um überhaupt erstmal eine Trennung zur Office-Workstation zu schaffen, war ein wichtiger Schritt.

bearbeitet von michelo82
Link zu diesem Kommentar

Mit den gespeicherten Credentials (dafür macht man das ganze ja) lässt sich mit diversen Mitteln umgehen. Da gab es vor einiger Zeit auch einen guten iX Artikel darüber.

Es muss kein Physischer PC im abgesperrten Raum sein, es gibt andere Möglichkeiten, die ich vorhin sozusagen augezählt habe.

 

Für DR kann man Lokale User nutzen. Man sollte ein DR Konzept nicht mit einem Security Konzept mischen. Es können die gleichen Dinge genutzt werden, aber müssen nicht.

 

Ohne Domäne sind die Clients halt nicht gemanaged.

 

https://epaper.heise.de/download/archiv/c8adeb8cabfb/ix.16.12.044-050.pdf

https://epaper.heise.de/download/archiv/c8aded56c803/ix.16.12.052-057.pdf

bearbeitet von Dukel
Link zu diesem Kommentar

Ja richtig das DR-Konzept sollte da nicht vermischt werden. Aber stimmt, ein lokaler User könnte sich dennoch anmelden, auch bei einem Domänen-Mitglied.

Die Workstations haben kein Win10 Enterprise BS um Credentials Guard zu nutzen - das kann aber wiedderum auf den Adminhost, da es ein Server BS ist, genutzt werden.

bearbeitet von michelo82
Link zu diesem Kommentar
vor 43 Minuten schrieb michelo82:

Diejenigen die auf die Adminmaschinen Zugriff haben, haben ebenso Zugriff auf die VMWare Umgebung - es ist der gleiche Personenkreis. Wir vertrauen uns.

Das widerspricht aber etwas der Anforderung. Also entweder man trennt, oder man trennt nicht (und das betrifft genauso Out Of Band Zugriffe). Dann muss man aber auch deutlich weniger Aufwand betreiben. Ich bin dann bei Nils' Aussage, dass sowas die Forummöglichkeiten etwas überschreitet. ;)

bearbeitet von NorbertFe
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...