Konzeptfrage Administration über PAW-VM - Win2019

[H2000 0]

Hallo zusammen,

 

Bin ziemlicher Neuling und habe die letzten Wochen/Monate fleißig gelesen und getestet. Allerdings habe ich ein kleines Verständnisproblem, wahrscheinlich weil Best Practice eben nicht immer genau passt, ich mich aber daran gerade als Neuling stark orientieren möchte.

 

Ich baue momentan einen Windows 2019 Standard Server auf. Laut Microsofts Dokumentation (leastprivelege,SAW/PAW) habe ich nun folgendes Konzept für das Verwalten des Serversystems vor:

 

• HyperV-Host (Domainjoined):
  • AD-VM
  • Applicationserver-Server-VM
  • Fileserver-VM
  • Management-Server-VM (Backup, WAC etc.)
  • Terminalserver-Server-VM
  • "PAW" -VM Windows 10 (RDP aktiv)

 

Ich bin momentan der einzige Admin, habe aber schon 4 verschiedene Accounts (übertrieben?)

1) Daily User (mails, browsen etc.)

2) Lokaler Admin (im AD für jede nichtServer Workstation als local Admin gesetzt) / localAdminsGroup

3) Server Admin (im AD für jede Workstation inklusive Server als Admin gesetzt; ausser DC) / SrvAdminsGroup

4) Domain Admin (Mitglied in DomainAdmins)

 

Auf der "PAW"-VM wird nicht gebrowst, mailed etc. sondern es sind lediglich RSAT und andere Management Tools installiert.

Meine Vorgehensweise: RDP von Workstation A zu PAW mit dem normalen 1) DailyUser an (leastprivelege) und verwende die einzelnen Tools je nach Einsatzbereich mit "run as" bspw. 3)ServerAdmin.

Macht das so Sinn? Ich bin ja auf der Workstation A mit meinem DailyUser aktiv und browse/maile munter vor mich hin. Ist es dann nicht gefährlich von dort aus per RDP auf die PAW zu schalten? Mir fällt aber ehrlich gesagt keine andere Lösung ein. Eine dedicated PAW wäre einfach zu übertrieben und müsste bspw. vom Homeoffice auch wieder Remote angesteuert werden.

 

Schonmal Danke im Vorraus.

 

LG

 

Herb

 

 

[Dukel 436]

Das was du beschreibst ist ein kleiner Teil des Sicherheitskonzept. Wie sieht es mit Netzwerktrennung (VLans) aus? Wenn alles auf einem Host läuft ist das schwirig.

Wie sieht es mit Credentials Guard, TPM,... aus?

 

Die Trennung der vier User ist schonmal gut. Lokaler Admin kannst du "Client Admin" nennen.

 

Wie groß ist die Umgebung? Wieviele User / Admins?

 

Wegen RDP auf die PAW: Hier gibt es unterschiedliche Methoden, dass die Credentials nicht zwischengespeichert werden.

[daabm 1.185]

Bei der PAW sieht MS das andersrum vor wie Du es umgesetzt hast: Die PAW läuft auf dem Blech der Arbeits-Workstation. Der Arbeitsrechner läuft als VM auf selbiger. Ansonsten ist das bei der "Menge" an Systemen vermutlich Overkill, kann sich aber lohnen und ist im Grundsatz auf jeden Fall richtig.

Da Du die Admin-Accounts nicht ständig brauchst: Kennwort läuft nie ab, dafür halt ein sinnvoll langes (> 20) Zeichen verwenden - und NICHT alle durch einfache Transformationen voneinander ableiten

[cj_berlin 1.137]

vor einer Stunde schrieb daabm:

Da Du die Admin-Accounts nicht ständig brauchst: Kennwort läuft nie ab, dafür halt ein sinnvoll langes (> 20) Zeichen verwenden - und NICHT alle durch einfache Transformationen voneinander ableiten

Oder SCAMA. Dann brauchst Du gar keine Kennwörter.

[H2000 0]

vor 2 Stunden schrieb daabm:

Bei der PAW sieht MS das andersrum vor wie Du es umgesetzt hast: Die PAW läuft auf dem Blech der Arbeits-Workstation. Der Arbeitsrechner läuft als VM auf selbiger. Ansonsten ist das bei der "Menge" an Systemen vermutlich Overkill, kann sich aber lohnen und ist im Grundsatz auf jeden Fall richtig.

Da Du die Admin-Accounts nicht ständig brauchst: Kennwort läuft nie ab, dafür halt ein sinnvoll langes (> 20) Zeichen verwenden - und NICHT alle durch einfache Transformationen voneinander ableiten

 

Okay, das macht so herum tatsächlich mehr Sinn. Wie ist das wenn man z.Bsp. aus Home-Office administrieren will? Dann brauche ich ja auch eine, ich nenne es mal jetzt so, PAW-light. sprich Workstation die quasi nur Antivirus+vpn+rdp hat und sich auf die eigentliche PAW aufschaltet?

Ja die Admin-Accounts bekommen sehr lange und unterschiedliche Passwörter.

 

vor 1 Stunde schrieb cj_berlin:

Oder SCAMA. Dann brauchst Du gar keine Kennwörter.

schau ich mir mal an, danke für den Tipp!

 

vor 4 Stunden schrieb Dukel:

Das was du beschreibst ist ein kleiner Teil des Sicherheitskonzept. Wie sieht es mit Netzwerktrennung (VLans) aus? Wenn alles auf einem Host läuft ist das schwirig.

Wie sieht es mit Credentials Guard, TPM,... aus?

 

Die Trennung der vier User ist schonmal gut. Lokaler Admin kannst du "Client Admin" nennen.

 

Wie groß ist die Umgebung? Wieviele User / Admins?

 

Wegen RDP auf die PAW: Hier gibt es unterschiedliche Methoden, dass die Credentials nicht zwischengespeichert werden.

 

 

Admin 1,5 (also mich und jemand mit eingeschränkten Adminrechten) + 12 User (davon 7 per VPN zugeschaltet)

 

 

VLans wollte ich angehen sobald auch ein vlan-fähiger switch da ist, aber kurze Recherche zeigte mir, dass man ja breits in Hyper-V Vlans zuweisen kann. Dazu muss ich mich wohl unbedingt richtig informieren, mein Verständnis dazu war da ein anderes..

 

Credential Guard und TPM hatte ich noch nicht auf dem Schirm. Wobei Credential Guard ja wohl schon Standard sein sollte was ich so lese. Ohje, noch viel lesen ich muss :)

 

Danke für die Punkte!

 

Edit: Typo

bearbeitet 25. Januar 2022 von H2000

[Weingeist 157]

Ich frage mich immer bei solchen Dingen wie dem Credential-Guard immer, ob das tatsächlich so viel bringt. Eigentlich schafft man mit einem zusätzlichen HyperVisor in einem Client/Server, UEFI auf der Platte abseits der Kontrolle etc. doch auch unglaublich viel Komplexität mit viel Code und entsprechendem Fehlerpotential.

Ich bin kein Spezialist in solchen Dingen, aber irgendwie hat das ganze Zeug jedenfalls einen faden Beigeschmack. Wo sich ein Angreifer dazwischenschaltet ist ja egal, wenn er sich Admin und/oder Systemrechte auf einem System aneignen kann - die Basis von fast jedem erfolgreichen Angriff - dann kann er sich doch auch immer zwischen die Kommunikation von egal was schalten und die "notwendigen" Dinge bekommen/manipulieren. Ein Bemerken/Aufspüren könnte noch schwieriger sein wenn er sich in solchen Bereichen einnistet. Oder sehe ich das falsch?

Klar kurzfristig hilfts ja bestimmt, schlicht weil die meisten es nicht einsetzen und somit kein grösseres Interesse besteht weil man genügend andere attackieren kann. Aber mittel- bis langfristig? Oder habe ich das was nicht verstanden?

 

Bezüglich der Admins-Workstation: Wenn eine ganze Umgebung in einem Cluster läuft, wie beim TO und auch in den meisten kleinen bis mittleren Umgebungen, hat man ja immer das Risiko, dass eine übernahme des HyperVisors auch T0-System wie AD komprimitiert. In der Regel hat man da ja nicht ausfallsichere Cluster für jede Stufe. Laufen also auf dem selben Host. Lohnt es sich dann überhaupt mehrere Admin-Workstations zu haben oder reicht nicht einfach eine aus?

Admin-Workstation>Zugriff auf die VM's über dasVerwaltungsnetz mittels Hyper-Visor-Remote-Protokollen (Arbeits-VM für E-Mail, die Server an sich).

Oder man verwendet zum surfen grad komplett andere physische Hardware. Sprich Zugriff nichtmal über ein Remote-Protokoll.

 

Zumindest könnte man so die Admin-Workstation relativ gut insolieren, würde nur im Verwaltungs-Netz hängen. Für Fernzugriff müsste man sich noch etwas anderes einfallen lassen damit man von externe keine Passwörter eingeben muss, ist ja sonst wieder PillePalle.

[MurdocX 904]

vor 4 Stunden schrieb Weingeist:

Ich frage mich immer bei solchen Dingen wie dem Credential-Guard immer, ob das tatsächlich so viel bringt. Eigentlich schafft man mit einem zusätzlichen HyperVisor in einem Client/Server, UEFI auf der Platte abseits der Kontrolle etc. doch auch unglaublich viel Komplexität mit viel Code und entsprechendem Fehlerpotential.

vor 4 Stunden schrieb Weingeist:

Oder sehe ich das falsch?

 

Falsch ist das "falsche" Wort. Um die Sicherheit zu erhöhen, werden i.d.R. zusätzliche Layer, Kontrollinstanzen oder stärkere Verschlüsslungen eingesetzt. Der CredentialGuard kann verhindern, das Hashes extrahiert werden. Das kann das laterale Movement auf jeden Fall erschweren. Um "Sicherheit" zu bekommen braucht es nicht eine Technik, sondern eine Kombination aus mehreren Techniken. Das diese im Einzelnen einen Angriffsvektor bieten können, muss man in Kauf nehmen.

 

Ich möchte es mal provokant ausdrücken: Wenn du viel weißt, dann weißt du, dass du eigentlich gar nichts weißt  Sich "sicher" fühlen, ist ein Gefühl das sich immer auf die Person an sich bezieht, resultierend aus deren Wissenstand und Situation. Das kann trügerisch sein. Immerhin sind wir als Welt miteinander vernetzt und zu verdrängen es gäbe keine anderen kreativen und klugen Köpfe...  Die Exchange-Lücke(n) haben das, denke ich, gut demonstriert.

bearbeitet 3. Februar 2022 von MurdocX

[Damian 1.401]

vor 1 Stunde schrieb MurdocX:

Wenn du viel weißt, dann weißt du, dass du eigentlich gar nichts weißt

[falkebo 18]

Meine Quickwins für dieses Thema:

1. Administrative Tiering einführen.
In deinem Fall ist zusätzlich darauf zu achten, dass der Hyper-V Host ebenfalls als T0 System zu betrachten ist, da dieser direkt/indirekt den Domain-Controller kontrolliert.

 

2. PAWs für die Administration einführen und am Besten nach SCT härten, des Weiteren empfehle ich den Zugriff auf die PAW lediglich via RDP + 2. Faktor zu realisieren.
Für jedes Tier wird zwangsweise eine separate PAW benötigt. Die unprivilegierte Workstation von wo aus du zugreifst, sollte stark gesichert sein (Hardening, EDR, Logging)

 

3. LAPS für alle Server und Clients (bis auf DCs!!!) einführen

 

4. Allgemeines Client Hardening nach SCT, BSI oder CIS (einschließlich Device Guard, Credential Guard, usw.)

 

 

Damit hast du erstmal eine gute Grundlage.

[NilsK 2.785]

Moin,

 

vor 11 Stunden schrieb falkebo:

Quickwins

naja, Quickwins sind das nicht, sondern eher Abschnitte einer sehr umfassenden Aufgabenliste.

 

Man mache sich nichts vor, das ist richtig Aufwand.

 

Gruß, Nils

 

[daabm 1.185]

vor 6 Stunden schrieb NilsK:

Man mache sich nichts vor, das ist richtig Aufwand.

 

Der größte Aufwand (in meiner Wahrnehmung) ist, bei allen Beteiligten das erforderliche Mindset ausreichend zu entwickeln. Sonst kommt gern mal "Warum ist das so kompliziert? Früher ging es doch auch, und alles war einfacher"...

[MurdocX 904]

vor 26 Minuten schrieb daabm:

bei allen Beteiligten das erforderliche Mindset ausreichend zu entwickeln.

Die o. genannten habe ich bei uns umgesetzt. Nicht nur das Mindset, sondern auch das Troubleshooting und künftige Planungen sind ein ganz anderes Niveau. Einfach ist dann nur noch das Ausstempeln 

[daabm 1.185]

vor 6 Minuten schrieb MurdocX:

Die o. genannten habe ich bei uns umgesetzt.

 

We are hiring

[falkebo 18]

vor 10 Stunden schrieb NilsK:

Man mache sich nichts vor, das ist richtig Aufwand.

 

Im Verhältnis zu dem was in den letzten Jahren AD Seitig empfohlen wurde, Stichwort: ESAE, SCAMA, usw. sind das definitiv Quickwins.
Ich lenke vielleicht noch ein, wenn es darum geht Tier1 und Tier2 vollständig zu implementieren, alles andere ist wirklich keine Raketenwissenschaft.

[cj_berlin 1.137]

vor 22 Stunden schrieb falkebo:

Für jedes Tier wird zwangsweise eine separate PAW benötigt.

Nicht zwangsweise. Implementiert man SCAMA, langt eine für alle Tier. Aber SCAMA ist natürlich etwas höhere Kunst.