Jump to content

AD-Gruppe "protected Users" - welche Konten packt ihr rein, wer nutzt die Gruppe überhaupt?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Forum,

 

man will es ja den potentiellen Angreifern so schwer wie möglich machen, dabei bin ich auf die Gruppe "protected Users" gestoßen. Hört sich für mich erst einmal so an, als wären da die Domänen- und Server-Admin-Konten gut aufgehoben. Interessant wäre jetzt natürlich, wer das einsetzt und welche Probleme dabei unter Umständen auftreten. 

Wäre für jeden Erfahrungsbericht dankbar :-)

Link zu diesem Kommentar

Moin,

 

Probleme mit Protected Users treten immer dann auf, wenn

 

a. Sessions über 4h Dauer zwingend nötig sind (z.B. lang laufende Skripte)

b. NTLM und/oder RC4 verwendet werden muss, weil das Zielsystem nichts besseres beherrscht

c. Offline-Loginfähigkeit erwartet wird

 

Alle Konten, die irgendwie privilegiert sind, sind da gut aufgehoben, solange die oberen drei Fälle kein Problem darstellen.

EDIT: In allen drei Fällen gilt der Nebensatz ", aber dann hast Du ein anderes Problem, nämlich in Deinen Management-Prozessen" ;-) Und ja, ich weiß, die Sätze "Geht nicht" und "Geht bei uns nicht" werden auf dem Grabstein jedes Consultants stehen.

Link zu diesem Kommentar

Ok, danke erstmal. Punkt a kann ich ausschließen, mit Ausnahme von langen Remotesessions bei Dienstleister-Einsatz... Zu Punkt b sind mir (derzeit) keine Anwendungen bekannt, das wird sich dann wohl zeigen... Und Punkt c wird dann zum Problem falls die DC's mal nicht verfügbar sind - hier sollte man sich dann also einen "Not-Admin" anlegen, der nur in diesem Fall benutzt wird... Oder lokaler Server-Admin, ggf mit LAPS.

Liege ich da soweit richtig?

Link zu diesem Kommentar

Moin,

 

"Full Ack" zu Evgenijs Darstellung.

 

Und ergänzend: Aus dem Gesagten folgt, dass das Konstrukt in den meisten Umgebungen nur für einen Teil der privilegierten Konten taugt. Das wiederum hat zur Folge, dass man in solchen Umgebungen die Privilegien gut auf Konten (bzw. eher: auf Rollen) aufteilen sollte, damit der Schutz funktionieren kann. In a nutshell: Wenn die Fälle a, b oder c aus Evgenijs Liste vorkommen, dann sollten diese nicht an Konten gebunden werden, die sonst auch sehr hohe Privilegien haben. Auf die Weise könnte man dann die Accounts, die a, b und c nicht brauchen, über die Gruppe schützen.

 

Ob das in einer bestimmten Umgebung umsetzbar ist, ist dann zu prüfen.

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar

Hi,

vor 40 Minuten schrieb Marco31:

Und Punkt c wird dann zum Problem falls die DC's mal nicht verfügbar sind

hier wäre es wohl "am einfachsten", die DCs so aufzustellen, dass einer immer verfügbar ist. Je nach vorhandener Infrastruktur zwei DCs in der virtualisierten Umgebung, einer direkt auf Blech und ein vierter an einem anderen Standort (Cloud, "Colocation", "Brandabschnitt", ...).

 

vor 42 Minuten schrieb Marco31:

Oder lokaler Server-Admin, ggf mit LAPS.

An die LAPS Kennwörter würdest du ohne verfügbaren Domain Controller nicht dran kommen. ;)

 

Gruß

Jan

Link zu diesem Kommentar
vor 29 Minuten schrieb testperson:

Hi,

hier wäre es wohl "am einfachsten", die DCs so aufzustellen, dass einer immer verfügbar ist. Je nach vorhandener Infrastruktur zwei DCs in der virtualisierten Umgebung, einer direkt auf Blech und ein vierter an einem anderen Standort (Cloud, "Colocation", "Brandabschnitt", ...).

 

Normalerweise ja, ich hatte aber vor einiger Zeit den Fall wo wirklich nichts mehr ging in Sachen DC - da hätte ich dann ein Problem gehabt. 

 

vor 29 Minuten schrieb testperson:

An die LAPS Kennwörter würdest du ohne verfügbaren Domain Controller nicht dran kommen. ;)

 

Gruß

Jan

 Verdammt, stimmt ja ;-) Also doch "Notfall-Admin-Konto"

Link zu diesem Kommentar
vor 10 Minuten schrieb Marco31:

Also doch "Notfall-Admin-Konto"

Nennt sich DSRM Konto. Und das sollte man vermutlich nicht per LAPS managen lassen, wenn das drumherum nicht passt. Bei Hyper-V Hosts hat sich die Verwendung von LAPS auch schon ein- zweimal als hinderlich erwiesen, wenn man nix starten kann und erstmal ein Password Recovery durchführen darf in einer Situation, wo man das definitiv nicht benötigt. ;)

Link zu diesem Kommentar

Moin,

 

vor 2 Stunden schrieb Marco31:

ich hatte aber vor einiger Zeit den Fall wo wirklich nichts mehr ging in Sachen DC - da hätte ich dann ein Problem gehabt

 

wenn sowas auftritt, hast du sowieso ein Problem. Dann ist entweder die Umgebung in einem Zustand, in dem man gar nicht über "Protected Users" nachdenken muss, oder es ist ein Recovery-Fall, wo man auch nicht darüber nachdenken muss, weil nur noch der DSRM hilft, wie Norbert schon sagt.

 

Gruß, Nils

 

Link zu diesem Kommentar

LAPS ist für Member Server schon ok. Naja, "brauchbar". Für DCs definitiv natürlich nicht, und für den DSRM-Admin auch nicht. Der ist ja für LAPS nicht sichtbar, da in der alten lokalen SAM der DCs (bzw. also deren Registry) verbuddelt. Lösung bei uns: Zentrale PW-Verwaltung (CyberArk). Die bringt dann auch gleich Checkout/Checkin/Reconcile und noch so ein paar Dinge mit, die bei LAPS alle fehlen.

 

Was aber alles mit Protected Users nichts zu tun hat :-)

Link zu diesem Kommentar
vor 4 Minuten schrieb daabm:

Der ist ja für LAPS nicht sichtbar, da in der alten lokalen SAM der D

laps-management-policy-settings-group-po

 

Na zumindest so sichtbar, dass er sie sichern kann. Ob er sie auch "verwaltet", wie die deutsche Beschreibung sagt, wär zu testen:

 

"Wenn Sie diese Einstellung aktivieren, wird das Kennwort des DSRM-Administratorkontos verwaltet und in Active Directory gesichert.

Das Aktivieren dieser Einstellung hat keine Auswirkungen, es sei denn, das verwaltete Gerät ist ein Domänencontroller, und die Kennwortverschlüsselung ist ebenfalls aktiviert."
 

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...