Assassin 13 Geschrieben 25. September 2024 Melden Geschrieben 25. September 2024 Servus miteinander, Ich habe gerade in einer Testumgebung wo es nur einen neuinstallierten und unkonfigurierten DC und einen Exchange 2019 gibt, mal PurpleKnight angeworfen. Da kommen natürlich einige Meldungen zusammen, aber eine ist recht hartnäckig wo ich nicht wirklich weiter weiß, was ich da noch einstellen kann um das Testsystem zu härten (und später natürlich auch das Produktivsystem) PurpleKnight meldet, dass die Gruppe Exchange Servers im Domänen-Administrator Konto den msDS-KEyCredentialLink wert schreiben kann. Nur habe ich ich dies bereits über eine Sicherheits-Verweigerungsregel im Administrator-Konto angepasst, dass die ExchangeServers Gruppe nicht schreiben darf auf den Eintrag. Dennoch meckert PurpleKnight diesen wert an. Was müsste ich den jetzt wie ändern, damit das sauber ist?
cj_berlin 1.508 Geschrieben 25. September 2024 Melden Geschrieben 25. September 2024 Moin, was zeigt Dir der "Effektive Zugriff"? PK kann sich auch ab und zu irren (full disclosure: Ich arbeite bei Semperis)
daabm 1.428 Geschrieben 25. September 2024 Melden Geschrieben 25. September 2024 @cj_berlin falsche (oder gar keine) Auswertung des Allow/Deny Flags?
cj_berlin 1.508 Geschrieben 25. September 2024 Melden Geschrieben 25. September 2024 Hatte noch keine Zeit gefunden reinzugucken, aber ich habe die Frage dort platziert, wo sie hingehört. Wenn ich was höre, poste ich es hier. 2
Assassin 13 Geschrieben 26. September 2024 Autor Melden Geschrieben 26. September 2024 Zugriff auf den wert msDS-KEyCredentialLink vom Administrator wird für Exchange Servers verweigert, oder hab ich da was falsch gemacht?
cj_berlin 1.508 Geschrieben 26. September 2024 Melden Geschrieben 26. September 2024 Moin, unabhängig von PurpleKnight: Solche Anpassungen, und zwar lieber ein entferntes "allow" als ein hinzugefügtes "deny", musst Du für hochprivilegierte Benutzer und Gruppen nicht am Objekt selbst, sondern am AdminSDHolder-Container vornehmen, denn sonst werden sie nach einer Stunde (default) wieder überschrieben. So wie Du es schlderst, prüft PurpleKnight hier scheinbar nicht genau genug, aber ich lasse es jetzt checken. Nichtsdestotrotz, alles, was sich zu den Default-Admin- und Operator-Gruppen zurückverfolgen lässt, bekommt die Berechtigungen vom AdminSDHolder normalerweise drübergebügelt.
Assassin 13 Geschrieben 26. September 2024 Autor Melden Geschrieben 26. September 2024 (bearbeitet) OK, aber auch in der Sicherheitsberechtigung des AdminSDHolders gibt es keinen eintrag zum msDS-KEyCredentialLink, also wenn ich da bei den Effektiven Zugriffen schaue. Da wird allerdings der Eintrag msDS-KEyCredentialLink garnicht mit aufgeführt. Ich finde auch nirgendwo infos im Netz, wie ich das schreibrecht entziehen kann. Habe im AdminSDHolder objekt unter den Sicherheitsberechtigungen auch jeden Exchange Servers eintrag durchgeklappert und geschaut ob es da irgendwo den eintrag msDS-KEyCredentialLink gibt wo ein häkchen davor ist - gibt es aber nicht bearbeitet 26. September 2024 von Assassin
cj_berlin 1.508 Geschrieben 26. September 2024 Melden Geschrieben 26. September 2024 Wenn Du auf dem Admin-Account andere Berechtigung hast als auf dem AdminSDHolder, dann funktioniert entweder der SDHolder-Prozess nicht, oder auf dem AdminSDHolder ist die Vererbung aktiviert (auch darüber müsste Dir PurlpleKnight berichtet haben). Der Normalzustand der Admin-User ist "Vererbung deaktiviert, ACL identisch mit AdminSDHolder". Und auf dem AdminSDHolder kannst Du den Exchange Servern alle Rechte entziehen, die Du willst, im Prinzip sogar alle, wenn Du nicht vorhast, Admin-Accounts Postfächer zu verpassen.
Assassin 13 Geschrieben 26. September 2024 Autor Melden Geschrieben 26. September 2024 Ok, habe jetzt beim AdminSDHolder die Benutzergruppe Exchange Servers einfach mal entfernt - jetzt geht es, wird nicht mehr als gefährlich erkannt. Admin Accounts sollen auch keine E-Mail adressen bekommen. Aber steht nur deswegen die Exchange Server gruppe da mit drin wegen möglicher E-Mail-Adressen? Oder hat das vieleicht doch noch weitreichendere Folgen wenn man die gruppe entfernt?
NorbertFe 2.277 Geschrieben 26. September 2024 Melden Geschrieben 26. September 2024 vor einer Stunde schrieb Assassin: Oder hat das vieleicht doch noch weitreichendere Folgen wenn man die gruppe entfernt? Stellt man sich diese Frage nicht bevor man sie entfernt? ;) An deiner Stelle würde ich es jetzt einfach abwarten. Sehr wahrscheinlich ist es aber nicht kritisch.
Assassin 13 Geschrieben 26. September 2024 Autor Melden Geschrieben 26. September 2024 Das ist ein Testsystem wo ich das hier mache. Da ist natürlich bei weitem nicht der Umfang wie im Produktivsystem. Aber daher frage ich vorsichtshalber bevor ich das eben auch im Produktivsystem so anwende
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden