Jump to content

Sophos - Least Privilege für den STAS-Service


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

 

ich weiß, dass sich hier einige sehr eingehend mit den SOPHOS Firewall-Produkten beschäftigen. Ich hätte hier einen Fall für Schwarmwissen, da der Hersteller es sich einfach macht.

Im Dokument "Best Practices for STAS" steht

Zitat

Enter Windows AD administrator credentials, as shown below. The account is needed to

  • query Windows Event Viewer on AD DC for Event ID 4768,
  • start/stop "Sophos Transparent Authentication Suite" service, and
  • send Windows WMI query to AD workstation to perform workstation polling

It is not necessary to be administrator, but it must be a member of group Domain Admins.

 

Event Viewer-Abfrage kann ich mit "Event Log Readers" abfackeln.

Sophos Dienst starten kann ich explizit delegieren.

WMI zu Workstations kann ich durch lokale Adminrechte dort oder vielleicht sogar noch dediziertere Berechtigungen ermöglichen.

 

Ich möchte den Service-User aus DA raus haben. Und nun die Frage: Hat das hier schon jemand getan und wäre er/sie bereit, das gewonnene Know-How zu teilen?

 

1000 Dank im vorab!

bearbeitet von cj_berlin
Link zu diesem Kommentar

Falls es jemanden Interessiert: Wir haben STAS nun ohne DA ans Laufen bekommen:

  • Logon As a Service auf DCs
  • Builtin\Event Log Readers
  • Full Access auf das Programmverzeichnis von STAS
  • Lokaler Admin auf Workstations (als Abkürzung für Remote WMI)

Viel fehlt hier effektiv nicht zum DA, aber das ganze lief im Rahmen eines AD-Audits, und jeder DA, dessen Kennwort nicht abläuft, bringt Strafpunkte ;-) 

  • Like 1
  • Danke 1
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...