Jump to content

Sophos - Least Privilege für den STAS-Service


Recommended Posts

Moin,

 

ich weiß, dass sich hier einige sehr eingehend mit den SOPHOS Firewall-Produkten beschäftigen. Ich hätte hier einen Fall für Schwarmwissen, da der Hersteller es sich einfach macht.

Im Dokument "Best Practices for STAS" steht

Zitat

Enter Windows AD administrator credentials, as shown below. The account is needed to

  • query Windows Event Viewer on AD DC for Event ID 4768,
  • start/stop "Sophos Transparent Authentication Suite" service, and
  • send Windows WMI query to AD workstation to perform workstation polling

It is not necessary to be administrator, but it must be a member of group Domain Admins.

 

Event Viewer-Abfrage kann ich mit "Event Log Readers" abfackeln.

Sophos Dienst starten kann ich explizit delegieren.

WMI zu Workstations kann ich durch lokale Adminrechte dort oder vielleicht sogar noch dediziertere Berechtigungen ermöglichen.

 

Ich möchte den Service-User aus DA raus haben. Und nun die Frage: Hat das hier schon jemand getan und wäre er/sie bereit, das gewonnene Know-How zu teilen?

 

1000 Dank im vorab!

Edited by cj_berlin
Link to comment

Falls es jemanden Interessiert: Wir haben STAS nun ohne DA ans Laufen bekommen:

  • Logon As a Service auf DCs
  • Builtin\Event Log Readers
  • Full Access auf das Programmverzeichnis von STAS
  • Lokaler Admin auf Workstations (als Abkürzung für Remote WMI)

Viel fehlt hier effektiv nicht zum DA, aber das ganze lief im Rahmen eines AD-Audits, und jeder DA, dessen Kennwort nicht abläuft, bringt Strafpunkte ;-) 

  • Like 1
  • Thanks 1
Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...