Neue Struktur für Admin PCs - wie am besten realisieren?

[Weingeist 157]

vor einer Stunde schrieb cj_berlin:

Es geht ja darum, DASS die DCs im produktiven Forest nicht kompromittiert werden. Und ein wichtiger Schritt dahin ist, Admin-Accounts nicht kompromittieren zu lassen. Und Admins, die sich nur per Shadow Principal aus dem Bastion-Forest authentifizieren, können im Prod-Forest gar nicht kompromittiert werden.

Das verstehe ich ja grad nicht. Wieso sollen die Admin-Accounts im separaten Admin-Forrest bzw. Bastion-Forrest nicht aus dem produktiven Netz heraus komprimirtiert werden können wenn man sich auch mit Ihnen authentifizieren kann? Die Abläufe sind ja im Grunde identisch nur die Authentifizierungstelle ändert sich. Also was macht sie gegenüber anderen Accounts weniger angreifbar? Und wenn sie komprimitiert sind, haben sie die notwendigen Berechtigungen für das produktive Netz.

 

 

vor 2 Stunden schrieb cj_berlin:

Patch-Management einer nicht-persistenten VDI ist nur bei Microsoft RDS ein Problem, andere Systeme beherrschen dies nativ. Und nicht-persistent deshalb, weil man bei VDI (zu der man sich aus der unsicheren Zone verbindet) nicht alle Mittel einsetzen kann, um das Hinterlassen von Credentials zu verhindern, die einem bei einem physischen Rechner, an dem man sich direkt interaktiv anmeldet, zur Verfügung stehen.

Klar ist es einfach(er) bei anderen. Wenn man die entsprechenden Lizenzen hat. Aber auch wieder mehr "fremde Software".

Welche mittel stehen den als VM nicht zu Verfügung? vTPM gibts ja mittlerweile auch. Nested VM's ebenso, also Credential Guard auch möglich. Und viel mehr kann eine physische ja eigentlich auch nicht bieten. Von der Exklusivität der Hardware mal abgesehen. Aber klar, ich bin bei Dir. Immer frisch ist immer frisch. Obs gegen die automatisierten Angriffe wirklich hilft? *schulterzuck*

 

 

vor 1 Stunde schrieb NilsK:

gibt es deshalb nicht, weil das sehr schnell sehr individuell wird und eine ganze Menge mit Prozessanalyse und -beratung zu tun hat. Das ist als Checkliste nicht sinnvoll zu leisten. Wer es ernst meint, muss da ganzheitlich ran. Und da ist es auch sinnvoll (für den Kunden) und legitim (für den Anbieter), dafür gutes Geld einzuplanen.

Darum meine ich ja die grundlegenden Dinge die "ab Werk" eben falsch bzw. unsicher sind. Ein spezieller Dienstleister - der eben auch entsprechend kostet - sollte doch gerade nur für das individuellen Dinge notwendig sein und nicht für den 0815 Teil der eigentlich immer gemacht werden sollte.

 

Ich stelle die These auf, dass 90% aller Firmen sich keinen solchen spezialiserten Dienstleister ins Haus holen. Nichtmal bei den grösseren KMUS mit 50 Leuten und mehr. Maximal deren üblicher Dienstleister selber und die meisten vermutlich auch nicht regelmässig.

 

A weil sie nichtmal auf die Idee kommen

B weil sie davon ausgehen ihr aktueller Profi macht es schon richtig

C weil es vermutlich definitiv zu teuer wird für einen KMU

D weil sie nicht beurteilen können ob der nun etwas davon versteht oder nur so tut - ich meine das ist ja schon für einen Fachman nicht unbedingt trivial zu erkennen

 

Das von einem typsichen KMU von 5-20 Nasen zu erwarten... Ich weiss nicht. Tue ich mir etwas schwer. Selbst von solchen die eben solche Kleinkunden betreuen. Selbst wenn grosse Häuser solche Kunden betreuen wird es schwierig. Weil sie es eben nicht für notwenig erachten, ist ja ne kleine Bude. Wenn dem nicht so wäre, hätten die ganzen Schadware-Verteiler nicht soviel Erfolg. Weder in der öffentlichen Hand noch bei Privatunternehmen.

 

Das ein solcher Leitfaden auch entsprechend gepflegt, aktualisiert und eben +- vollständig in Bezug auf das Grundlegende sein sollte, versteht sich von selbst. Mir kommts halt in der IT immer so vor, dass aus dem was aktuell grad Top aktuell ist, eine Black-Box drumherum konstruiert wird. Ich will gar nicht wissen wie viel Leerläufe so produziert werden. So ähnlich wie bei ISO-Zertifizierung wo auch bei jedem das Rad neu erfunden wird obwohl 90% der Dokumente mit minimalen Aufwand übernommen und leicht angepasst werden könnten. Aber finde mal einen Berater der das so macht, das ist ein sehr sehr sehr kleiner Teil.
 

[LK28 11]

vor 9 Minuten schrieb cj_berlin:

Ich vermag hier keinen Widerspruch zu erkennen  

Wollte nur sicherstellen, dass ich korrekt liege, dass für die Shadow Principals das MS PAM und der PAM Trust benötigt wird, und ein "normaler" Trust nicht ausreicht. :)

Bin mir nicht sicher, ob das Microsoft PAM überhaupt benutzt wird, oder auf andere Hersteller gesetzt wird.

 

Edit: Vielleicht nochmal anders ausgedrückt:

Macht das Ganze Thema Bastion-Forest auch dann Sinn, wenn man das MS PAM nicht einsetzt, keinen PAM-Trust einsetzt und somit keine Shadow Principals hat? 

Man hätte in dem Falle also "nur" den einseitigen normalen Trust

bearbeitet 21. Oktober 2022 von LK28

[cj_berlin 1.138]

vor 10 Minuten schrieb LK28:

Wollte nur sicherstellen, dass ich korrekt liege, dass für die Shadow Principals das MS PAM und der PAM Trust benötigt wird, und ein "normaler" Trust nicht ausreicht. :)

Bin mir nicht sicher, ob das Microsoft PAM überhaupt benutzt wird, oder auf andere Hersteller gesetzt wird.

Du musst im AD das PAM-Feature aktivieren und dann auch am Trust. MIM braucht man dafür aber nicht.

[cj_berlin 1.138]

vor 3 Stunden schrieb LK28:

Macht das Ganze Thema Bastion-Forest auch dann Sinn, wenn man das MS PAM nicht einsetzt, keinen PAM-Trust einsetzt und somit keine Shadow Principals hat? 

Man hätte in dem Falle also "nur" den einseitigen normalen Trust

Klar.

[daabm 1.185]

Der direkt sichtbare Vorteil des PAM-Trusts: Die Domain Admins der verwalteten Domänen sind leer. Damit existiert zunächst kein Angriffsziel.

Der indirekte Vorteil wäre wohl JIT-Admin mit kurzer Token-Laufzeit. Und da separater Forest, könnte man auch noch auf die Idee kommen, zweimal täglich krbtgt-Kennwörter durchzuwechseln

[Weingeist 157]

Ehrlich gesagt begreife ich das immer noch nicht. Wo liegt genau der Sicherheitsgewinn welcher zur tieferen Angreifbarkeit führen soll?

 

Aktuell interpretiere ich das so

- besseres Logging: weniger Einträge, weniger Log-Rotating etc. führt zur klar besseren Auswertmöglichkeiten für Admin-Konten

- kürzere Token-Laufzeit, krbtgt-Kennwörter, JIT Berechtigungen, aber könnte man alles auch im "normalen" AD machen (je nach Grösse, praktikabel oder auch nicht)

- Grössere Attack-Surface durch mehr Schnittstellen/Kommunikation etc. (klar ist gesichert, aber ist nunmal zusätzlich)

- Massive Komplexitäterhöhung (Backup, Recovery, mehr Hardware, mehr Updates etc.): Macht insbesondere kleinere Umgebungen unzuverlässiger als zuverlässiger

- Domain Admins sind leer: Geht nicht die Empfehlung dahin, dass man diesen nicht beschneiden sollte und auch entsprechende Notfall-Accounts hat die unabhängig vom Bastion sind?

Einem Angreifer ist im Endeffekt doch egal wer ihm die Zugriffsberechtigung "verschafft" um der Produktiv-Umgebung zu schaden. Sehe den Unterschied nicht, wenn man möglichst alle Empfehlungen die für Bastion-Accounts gelten auch für die Produktive umsetzbar wären (weiss nicht ob das möglich ist).

Eigentlich wäre es meiner Meinung nach fast wichtiger, die Produktiv-Daten in eine Art Bastion zu schieben und der Zugriff darauf besser gesichert/JIT sein, auf anzahl dokumente beschränkt etc.

 

Vielleicht mag das ja mal jemand erklären. Aktuell sehe ich die Vorteile nicht in der Erhöhung der Sicherheit für das aktuelle Geschehen. Eher zur Erhöhung der passiven Sicherheit weil gewisse Prozesse automatisiert und mit Richtlinien ausgestattet werden und so die Fehlerquote senken oder Admins effektiver "beschnitten" oder mit Rechten ausgestattet werden können. Das wiederum hat eher in grösseren Umgebungen Vorteile.

 

Was genau übersehe ich?

[MurdocX 904]

vor 4 Stunden schrieb Weingeist:

Wo liegt genau der Sicherheitsgewinn welcher zur tieferen Angreifbarkeit führen soll?

Das widerspricht sich.

 

Es gibt zu viele Möglichkeiten in einem lokalen AD Domänen-Admin zu werden. Kerberosting, Silver-,Gold-,Diamond-, Saphire-Ticket. Uvm… Alles um Welten weg von einfachen Admins.

Alles so einfach weg zu bekommen wie NTLM 

[Weingeist 157]

Am 25.10.2022 um 17:12 schrieb MurdocX:

Das widerspricht sich.

 

Es gibt zu viele Möglichkeiten in einem lokalen AD Domänen-Admin zu werden. Kerberosting, Silver-,Gold-,Diamond-, Saphire-Ticket. Uvm… Alles um Welten weg von einfachen Admins.

Alles so einfach weg zu bekommen wie NTLM 

 

Wieso widerspricht sich das? Es muss doch insgesamt einen effektiven Sicherheitsgewinn geben, wenn man eine solche Komplexität im Namen der Sicherheit einführt wo diese nicht beim einrichten selbst bleibt. Ohne effektiven Sicherheitsgewinn für die produktive Umgebung hat eine solche Massnahme doch keinen wirklichen Wert *schulterzuck*

 

Auch wenn ich mich wiederhole: Sobald die ganze produktive Umgebung an den ars*** geht oder Daten abgegriffen wurden, weil sich jemand Domain-Admin-Rights gesichert hat im Netz wo die Daten liegen, wo man arbeitet, ist das Kind doch eh schon in den Brunnen gefallen und man muss das Backup anzapfen welches vorzugweise wirklich komplett separat vom Rest aufgebaut ist. Was hilft ein Auffangnetz auf dem Grund des Brunnens wenn man oben absäuft? Ich verstehs echt nicht.

 

 

Für mich sieht es aktuell so aus: Viel Komplexität wenn man es durchzieht (inkl. Backup), viel Bla Bla und somit viel gutes Gefühl für wenig effektiven Gewinn. Daher wäre schön wenn jemand der etwas davon versteht, das propagiert, das eben auch für alle verständlich erklärt. Weil ich verstehe das nicht obwohl ich nicht wenig Lektüre zu diesem Thema gelesen habe. Ich sehe den Nutzen anderswo. Aber nicht wirklich bei der Sicherheit der produktiven Umgebung.

 

 

[Spoiler]

Kommt mir grad in etwa so vor wie vor ~15-20 Jahren als die Cluster bei vielen Admins in kleinen und mittleren Umgebungen Hochkonjunktur bekamen weil es die grossen propagiert haben. Die wenigsten - teilweise auch heute noch - sind sich so richtig den Konsequenzen und Voraussetzungen bewusst damit es auch ein Gewinn ist und nicht das Gegenteil. Die wenigsten brauchten diesen Gewinnn sondern wären bei der Investion in schnelles Recovery, Ersatzsystem etc. deutlich besser aufgehoben. Beim Thema Sicherheit ist es schwierig die Grundlagen umgesetzt zu haben, weil es eben keinen sinnvollen Leitfaden seitens des Herstellers gibt, die vernünftigen Einstellungen nicht "ab Werk" gesetzt sind und jede Firma/Dienstleister das Rad quasi neu erfinden muss. Wie immer, meine Meinung, kann man teilen, muss man nicht.  ;) [/Spoiler]

[cj_berlin 1.138]

Moin,

 

Du spricht vom "sich Domain-Adminrechte verschaffen" wie von einem magischen Vorgang, dem man als Normalsterblicher gar nicht entgegenwirken kann. Tatsächlich jedoch geschieht dieses "sich Verschaffen" auf zwei Wegen:

• man kapert einen Account, der diese Rechte bereits hat - evtl. nicht unmittelbar, sondern durch Verwaltungsberechtigungen auf Gruppen oder so
• man kapert einen Domaincontroller oder sein Äquivalent (irgendein Objekt mit DCSync-Berechtigung)

Alle anderen Angriffspfade zu DA sind eine Abwandlung und/oder Kombination aus den beiden.

Gegen den zweiten Punkt musst Du in jedem Forest vorgehen, aber das ist auch machbar - Hardening ist im CIS *und* bei Microsoft hinreichend beschrieben, Segmentierung sowohl bei Microsoft als auch bei 3rd Parties.

Aber in diesem Thread befassen wir uns ja mit dem ersten Punkt. Und da hast Du Deinen Sicherheitsgewinn - die Accounts, um die es geht, hinterlassen nichts, was man kapern könnte (im einfachsten Fall) oder existieren gar nicht erst (SCAMA/PIMTrust/Shadow Principals).

 

Und mal ganz ehrlich: Die Komplexität, einen Adminforest zu bauen und zumindest einfach nach CIS zu härten, ist mit der Komplexität, einen Cluster aus NT Wolfpack zu bauen, nicht zu vergleichen.

[NorbertFe 1.805]

vor 9 Stunden schrieb cj_berlin:

ist mit der Komplexität, einen Cluster aus NT Wolfpack zu bauen, nicht zu vergleichen.

Stimmt Wolfpack war zumindest deutlich instabiler und genauso schlecht dokumentiert. ;)

[NilsK 2.785]

Moin,

 

zumal der Cluster-Vergleich nicht mal einer ist, obwohl er wirklich sehr schön hinkt.

 

Gruß, Nils