NorbertFe 1.804 Geschrieben 3. Februar Melden Teilen Geschrieben 3. Februar Mach doch einfach $irgendwas mit Cloud. ;) damit geht alles! Immer! 😂 3 Zitieren Link zu diesem Kommentar
v-rtc 81 Geschrieben 3. Februar Melden Teilen Geschrieben 3. Februar vor 9 Stunden schrieb daabm: Aus dem Alltag eines Umsetzungsveranstalters... Einführung von Tier-Trennung und Eliminieren von NTLM-Auth: Du mußt jedem erst mal erklären, warum er jetzt ne Domain mit angeben muß. Du mußt danach jedem auch erklären, daß es überhaupt verschiedene Domains gibt und warum das wichtig ist. Danach erklärst Du dann den "Doppel-Tier-Leuten", warum sie jetzt 2 Accounts haben und mit denen jeweils andere Dinge können bzw. eben nicht können. Und warum das alles vom Arbeitsplatz aus gar nicht mehr geht. Damit hast Du die Basics der Tier-Trennung aus Sicht "Admin-Accounts" beinahe durch - wenn man ignoriert, daß "eigentlich" auch alle Peripheriesysteme (Identity Management, Systems Management, Inventory Scanner etc.) getrennt aufgebaut werden müssen. Das bezahlt aber quasi niemand, da wirst Du Kompromisse eingehen müssen. Das Thema PAW ist damit auch noch ungelöst - wir haben's mit CyberArk gemacht. MFA ebenso. Und gegen "verschlüsselt in der Ecke" hilft das auch nur bedingt. Im Kontext des Work-Accounts kann man halt immer alles verschlüsseln, auf das der Work-Account Schreibrechte hat. Wenn Du (wie wir) gleichzeitig versuchst, NTLM loszuwerden, mußt Du dann jedem erklären, warum sein Adminserver jetzt nicht nur seine Zielserver erreichen muß, sondern auch ziemlich viele DCs. Und warum DNS-Aliase nicht mehr funktionieren. Und warum er plötzlich nicht mehr auf \\10.0.1.15\c$ kommt... ("Ging doch bisher immer") Dann aktivierst Du LDAP Channel Binding und stellst fest, daß Deine Loadbalancer für LDAPS über Nacht unbrauchbar geworden sind, weil sie SSL terminieren. Und dann merkst Du, daß die meisten MFP (Scan to Folder) zwar Kerberos unterstützen, aber daran sterben, wenn der Serviceaccount nicht im Realm der Domain ist. Und daß auch ganz viele Drittanbieter Kerberos "unterstützen", aber nur wenn alles in einem Realm liegt. Daran stirbt übrigens sogar .NET - System.DirectoryServices.AccountManagement verträgt es nicht, wenn der ausführende Account aus einer trusted Domain kommt: https://github.com/dotnet/runtime/issues/95676. Und es stirbt auch, wenn GetAuthorizationGroups aufgerufen wird, der Zielaccount Mitglied von Gruppen ist, die ForeignSecurityPrincipals als weitere Mitglieder haben (warum das überhaupt geprüft wird, weiß nur MS) und der ausführende Account keine Leserechte auf die FSP-Objekte hat. Citrix PVS hat auch ganz lustige Probleme mit Trusts. Die checken nämlich an bestimmten Stellen nicht "reale" Gruppenmitgliedschaften von Serviceaccounts, sondern schauen ins AD. Konkret mußte ein Serviceaccount aus einer trusted Domain dort (!) in eine domain local (!) Group... 🙈 Wenn Du dann noch aufgrund "organisatorischer Anforderungen" (= Management-Wünsche) disjoint Namespaces hast, dann hast Du jetzt richtig Spaß an der Sache 😁 Und bist für mehrere Jahre unentbehrlich . Da fließt noch sehr viel Wasser ins Meer... PS: Wir haben ~8.000 MA im Konzern. Heilige F***krütze 😳 Zitieren Link zu diesem Kommentar
cj_berlin 1.137 Geschrieben 3. Februar Melden Teilen Geschrieben 3. Februar vor 3 Stunden schrieb NorbertFe: Mach doch einfach $irgendwas mit Cloud. ;) damit geht alles! Immer! 😂 Außer es geht irgendwas nicht. Dann ist es "shared responsibility". 1 Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 3. Februar Melden Teilen Geschrieben 3. Februar vor 8 Stunden schrieb NorbertFe: Mach doch einfach $irgendwas mit Cloud. ;) damit geht alles! Immer! 😂 Ne, ich nehm die Fähnchen... Zitieren Link zu diesem Kommentar
NorbertFe 1.804 Geschrieben 3. Februar Melden Teilen Geschrieben 3. Februar Kuchen?! Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 3. Februar Melden Teilen Geschrieben 3. Februar vor 8 Stunden schrieb v-rtc: Heilige F***krütze 😳 Ich könnte noch viel mehr erzählen. Ich mag Xavier eigentlich nicht (zu komische Ansichten), aber "dieser Weg wird kein leichter sein"... Gerade eben schrieb NorbertFe: Kuchen?! Sparkassenwerbung? 1 Zitieren Link zu diesem Kommentar
NorbertFe 1.804 Geschrieben 3. Februar Melden Teilen Geschrieben 3. Februar Naja die Fähnchen aber auch. ;) Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 3. Februar Melden Teilen Geschrieben 3. Februar Ach halt doch die Klappe 😂 Um wieder auf was fachliches zurückzukommen: Alleine die Quirks, die uns Kerberos beschert hat, reichen für ein Buch. Disjoint Namespaces, DNS-Aliase ohne Ende (damit jeder "seinen" persönlichen Namen ansprechen kann), Accounts aus unterschiedlichsten AD-Domains, die auf DNS-Namen in "irgendwelchen" DNS-Domains zugreifen wollen - Du wirst nicht fertig. Bis jeder erst mal verstanden hat, daß ein FQDN hinten eben kein Realm hat, sondern nur nen DNS-Namensraum - da kriegst schon Junge. Und geschätzt 1/2 unserer FQDNs enden nicht auf Kerberos-Realms (=AD-Domains), sondern nur auf DNS. So viele Mappings kannst gar nicht machen... Und mit NTLM war das alles "gar kein Problem" 🙈 1 1 Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 3. Februar Autor Melden Teilen Geschrieben 3. Februar (bearbeitet) Na da habe ich ja ne Diskussion angefangen 🙂. Danke auf jeden Fall für eure Beiträge und „Erlebnisberichte“. Bin mal gespannt, wohin das noch bei uns führt. bearbeitet 3. Februar von soulseeker Zitieren Link zu diesem Kommentar
MurdocX 904 Geschrieben 4. Februar Melden Teilen Geschrieben 4. Februar vor 20 Stunden schrieb soulseeker: .... Bin mal gespannt, wohin das noch bei uns führt. Na in die Cloud Sorry für die Polemik. ;) Die Systeme und deren Zusammenspiel wird komplexer. Das Personal ist nicht ausgebildeter, soll aber ansteigenden Anforderungen Herr werden. Meiner Meinung nach wird es wieder mehr hin zu gemanagten Systemen gehen. 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.137 Geschrieben 5. Februar Melden Teilen Geschrieben 5. Februar Aber erst, wenn das Personal, welches den Betrieb von gemanagten Systemen beherrscht, in Rente ist... 1 Zitieren Link zu diesem Kommentar
mwiederkehr 351 Geschrieben 5. Februar Melden Teilen Geschrieben 5. Februar Das Marketing wirkt leider und ich sehe immer wieder Firmen, die lieber Geld für "AI-enhanced Cloud Security" oder "Managed Detection and Response" ausgeben als für organisatorische Massnahmen, obwohl letztere aus meiner Sicht mehr bringen würden. So trifft man immer noch Umgebungen an, in denen der Azubi sich als Domain-Admin auf dem Printserver einloggt, um im Internet nach Druckertreibern zu suchen. Oder Scripts per Taskplaner als Domain-Admin ausgeführt werden, aus für Benutzer schreibbaren Verzeichnissen. Aber man fühlt sich gut geschützt durch "360° Total Insight Premium Cloud Edition". 1 1 Zitieren Link zu diesem Kommentar
v-rtc 81 Geschrieben 5. Februar Melden Teilen Geschrieben 5. Februar vor 40 Minuten schrieb mwiederkehr: Das Marketing wirkt leider und ich sehe immer wieder Firmen, die lieber Geld für "AI-enhanced Cloud Security" oder "Managed Detection and Response" ausgeben als für organisatorische Massnahmen, obwohl letztere aus meiner Sicht mehr bringen würden. So trifft man immer noch Umgebungen an, in denen der Azubi sich als Domain-Admin auf dem Printserver einloggt, um im Internet nach Druckertreibern zu suchen. Oder Scripts per Taskplaner als Domain-Admin ausgeführt werden, aus für Benutzer schreibbaren Verzeichnissen. Aber man fühlt sich gut geschützt durch "360° Total Insight Premium Cloud Edition". Werbung funktioniert, Gefahrenmeldungen werden ignoriert… :-| Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 5. Februar Autor Melden Teilen Geschrieben 5. Februar Wir nutzen tatsächlich schon diverse Cloud-Dienste, u.a. für "Next Gen" AV mit den Schlagwörtern "Managed Detection ... " und "AI blabla". Da kann ich aber überhaupt nicht beurteilen, wie gut das tatsächlich funktioniert, da wir gleichzeitig auch die Edge-Security stark erhöht haben. Zitat So trifft man immer noch Umgebungen an, in denen der Azubi sich als Domain-Admin auf dem Printserver einloggt, um im Internet nach Druckertreibern zu suchen. Oder Scripts per Taskplaner als Domain-Admin ausgeführt werden, sowas gab es hier auch jahrelang, auch ein Wust an service-accounts als Do-Admins, wo keiner mehr wusste, wozu die mal da waren. Zitieren Link zu diesem Kommentar
mwiederkehr 351 Geschrieben 5. Februar Melden Teilen Geschrieben 5. Februar vor einer Stunde schrieb soulseeker: Wir nutzen tatsächlich schon diverse Cloud-Dienste, u.a. für "Next Gen" AV mit den Schlagwörtern "Managed Detection ... " und "AI blabla". Da kann ich aber überhaupt nicht beurteilen, wie gut das tatsächlich funktioniert, da wir gleichzeitig auch die Edge-Security stark erhöht haben. Systeme mit Verhaltenserkennung funktionieren schon, wie es die Hersteller versprechen. "Client XY baut dauernd Verbindungen nach $bösesLand auf, das hat er bis jetzt noch nie gemacht, also Switchport deaktivieren und Admin informieren" ist technisch kein Problem. Nur ist das eigentlich zu spät und es entdeckt nur Wald-und-Wiesen-Angriffe. Die scheinen nicht mehr so lukrativ zu sein. Ich habe schon länger keine rechnung.zip.exe gesehen, die sofort alle erreichbaren Dateien zu verschlüsseln beginnt. vor einer Stunde schrieb soulseeker: sowas gab es hier auch jahrelang, auch ein Wust an service-accounts als Do-Admins, wo keiner mehr wusste, wozu die mal da waren. Ja, solche Sachen sind leider sehr mühsam zum Aufräumen. Das will niemand anfassen und viele hoffen, es bis zur Pensionierung aussitzen zu können. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.