RDS-Bereitstellung - Sicherheit der zu verwendenden Benutzer

[wznutzer 36]

Hallo und guten Morgen,

 

ich bin mir unsicher, wie ich folgendes Szenario beurteilen soll:

 

• Es gibt eine RDS-Bereitstellung mit Broker, Gateway und Session-Hosts.
• Auf dem Server mit dem Broker wird die Bereitstellung verwaltet. D. h. da sind im Servermanager alle Server der Bereitstellung hinzugefügt.
• Das Gateway ist in einem separaten Netzwerksegment.
• Ein Session-Host ist ebenfalls in einem separaten VLAN, weil dieser von den Nutzern her einem besonderen Kompromittierungsrisiko ausgesetzt ist.

 

Das alles funktioniert, die Firewall-Regeln sind entsprechend gesetzt. Um die Bereitstellung zu verwalten gibt es einen User, der auf allen beteiligten Servern Adminrechte haben muss. Und genau da bin ich mir nun nicht sicher, ob das ein Risiko ist, weil es so einen Benutzer gibt, der über die VLANs hinweg Adminrechte hat und die Anmeldung auch über die VLANs hinweg genutzt wird.

 

Damit eine solche Bereitstellung funktioniert müssen folgende Freigaben konfiguriert werden:

 

WinRM: Broker -> Gateway, Session-Hosts

RPC: Broker -> Gateway, Session-Hosts

RPC: Session-Hosts -> Broker

RDP: Gateway -> Session-Hosts, Broker

Port 5504: Gateway -> Broker (WebAccess)

 

Also, sollte das Gateway kompromittiert werden und die Zugangsdaten herausgefunden werden, kann man sich vom Gateway aus per RDP mit dem Broker und allen Session-Hosts verbinden und die meisten Session-Hosts stehen im allgemeinen LAN und sind nicht separiert.

 

Habe ich einen Denkfehler oder gibt es da eine Art "best practices"?

 

Ergänzung

Lt. früheren Tests, kann man das Passwort im Klartext mit Mimikatz auslesen, wenn man sich interaktiv (per RDP) an einem Server anmeldet. Erfolgt die Anmeldung per WinRM sollte (Theorie) nur das Ticket/Hash ausgelesen werden können. D. h. ich müsste dann nur dafür sorgen, dass der Verwaltungsuser zwar Adminrechte überall hat, aber mich mit diesem niemals per RDP anmelden? Liege ich da falsch?

 

Vielen Dank

 

bearbeitet vor 5 Stunden von wznutzer

[testperson 1.807]

Hi,

 

eine Frage wäre, wie oft "administrierst" du tatsächlich Dinge in der Farm und was wäre das? (Im laufenden Betrieb stört sich die Bereitstellung ja nicht daran, wenn der / die User (theoretisch) gar keine Rechte auf den Systemen haben.)

 

Gruß

Jan

[wznutzer 36]

vor 6 Minuten schrieb testperson:

eine Frage wäre, wie oft "administrierst" du tatsächlich Dinge in der Farm und was wäre das? (Im laufenden Betrieb stört sich die Bereitstellung ja nicht daran, wenn der / die User (theoretisch) gar keine Rechte auf den Systemen haben.)

Habe ich noch nicht darüber nachgedacht. Im laufenden Betrieb tatsächlich nur die Sammlungen (User hinzufügen, entfernen) und das so 2 - 3 x im Monat. D. h. Deine Überlegung wäre in die Richtung, dass ich evtl. zwei OUs habe, in einer werden die User als Admins hinzugefügt und in einer anderen entfernt und ich verschiebe die VMs dann je nach Bedarf hin und her?

[testperson 1.807]

"User hinzufügen, entfernen" wäre doch per AD Gruppe(n) regelbar, oder bin ich an der falschen Stelle?

Mit den OUs könnte so gemacht werden oder auch mit einer leeren AD Gruppe, die in den lokalen Administratoren der beteiligten Server ist und bei Bedarf packst du "dich" da rein. Aber hier dürfte es auch noch weitere Wege geben.

 

BTW.: Damit die Credentials nicht "auf dem Gateway" oder woanders liegen -> Protected Users / Restricted Admin Mode: NLA + RDP SSO + RDGW + Restricted Admin Mode + Protected Users group = True | Secure Identity

[wznutzer 36]

Danke, der Inhalt vom Link scheint genau das Richtige zu sein. Schaue ich mir genauer an.

 

Vielen Dank

[Sunny61 829]

vor 2 Stunden schrieb wznutzer:

(User hinzufügen, entfernen) und das so 2 - 3 x im Monat

Ist bei uns über AD-Gruppen gelöst.