10
Admin Tiering Umsetzung
Hallo,
wir beschäftigen uns gerade auch mit dem Thema Admin Tiering. Mich würde eure Meinung zu folgendem Ansatz bezüglich Sicherheit interessieren.
Der Admin meldet sich auf seinem physischen PC mit seinem unprivilegiertes Konto an (nicht in AD). Auf diesem Admin PC ist nur das Betriebssysteme, keine weitere Software installiert. Dieser Admin PC ist in einem eigenen VLAN oder direkt an einem Ethernet Port der Firewall. Dieser Admin PC hat keinen Internet Zugang! Von diesem Admin PC aus wird per RDP auf die Server und per RDP auf eine "Office-VM" verbunden auf dieser wird dann Office, E-Mail, Internet etc. ausgeführt. Admin PC, Server und Office-VM sind in getrennten VLANs und durch die Firewall getrennt.
Der Vorteil dieser Lösung wäre nicht immer zwischen Office PC und Admin PC wechseln zu müssen.
Bin auf eure Meinung gespannt, danke!
wir beschäftigen uns gerade auch mit dem Thema Admin Tiering. Mich würde eure Meinung zu folgendem Ansatz bezüglich Sicherheit interessieren.
Der Admin meldet sich auf seinem physischen PC mit seinem unprivilegiertes Konto an (nicht in AD). Auf diesem Admin PC ist nur das Betriebssysteme, keine weitere Software installiert. Dieser Admin PC ist in einem eigenen VLAN oder direkt an einem Ethernet Port der Firewall. Dieser Admin PC hat keinen Internet Zugang! Von diesem Admin PC aus wird per RDP auf die Server und per RDP auf eine "Office-VM" verbunden auf dieser wird dann Office, E-Mail, Internet etc. ausgeführt. Admin PC, Server und Office-VM sind in getrennten VLANs und durch die Firewall getrennt.
Der Vorteil dieser Lösung wäre nicht immer zwischen Office PC und Admin PC wechseln zu müssen.
Bin auf eure Meinung gespannt, danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 84034447993
Url: https://administrator.de/contentid/84034447993
Printed on: April 27, 2024 at 22:04 o'clock
10 Comments
Latest comment
Hallo,
Das ist aber kein Tiering im eigentlichen Sinnen.
Bei uns arbeitet auch die IT mit "normalen" User Account auf ihren Office PC. Die Admin Account sind wie folgt aufgeteilt.
Admin Account für Clients - Tier 2
Admin Account für Server - Tier1
Admin Account für DomainController - Tier0
Mit einem AdminAccount für Server kannst du dich auch nicht bei Client anmelden und auch nicht über Netzwerk (C$) etc. zugreifen.
Bei Frankysweb gibt es da eine sehr gute Anleitung dafür.
Ps.: Wie erhält dein Admin PC Updates für das OS und AntivirenDefinitionsUpdates?
Gruß
Das ist aber kein Tiering im eigentlichen Sinnen.
Bei uns arbeitet auch die IT mit "normalen" User Account auf ihren Office PC. Die Admin Account sind wie folgt aufgeteilt.
Admin Account für Clients - Tier 2
Admin Account für Server - Tier1
Admin Account für DomainController - Tier0
Mit einem AdminAccount für Server kannst du dich auch nicht bei Client anmelden und auch nicht über Netzwerk (C$) etc. zugreifen.
Bei Frankysweb gibt es da eine sehr gute Anleitung dafür.
Ps.: Wie erhält dein Admin PC Updates für das OS und AntivirenDefinitionsUpdates?
Gruß
1
Hallo,
eigene Admin Accounts für Client, Server, DC wie von dir beschrieben haben wir schon.
Uns geht es um den RDP Zugriff. Vom Office PC aus würde ein Angreifer eventuell per RDP (Sicherheitslücke, Keylogger etc.) auf die Server etc. kommen.
Daher die Überlegung jeder Admin bekommen 2 PC/NBs (Office und Admin PC/NB) oder eben wie oben beschrieben 1 Admin PC mit RDP für Server und per RDP auf eine VM für Office.
Bezüglich Windows Update/AV hast du recht. Wir könnten bei der Firewall die MS und AV Updates Server freigeben.
LG
eigene Admin Accounts für Client, Server, DC wie von dir beschrieben haben wir schon.
Uns geht es um den RDP Zugriff. Vom Office PC aus würde ein Angreifer eventuell per RDP (Sicherheitslücke, Keylogger etc.) auf die Server etc. kommen.
Daher die Überlegung jeder Admin bekommen 2 PC/NBs (Office und Admin PC/NB) oder eben wie oben beschrieben 1 Admin PC mit RDP für Server und per RDP auf eine VM für Office.
Bezüglich Windows Update/AV hast du recht. Wir könnten bei der Firewall die MS und AV Updates Server freigeben.
LG
Moin.
Die zusätzliche Hardware inkl. CALs wären mir zu umständlich, hoher Pflegeaufwand und zu teuer.
Lieber ordentliches Tiering, wie von @em-pie beschrieben.
Firewall unterbindet TCP/UDP Port 3389 aus dem Office VLAN auf die Server.
Die PC der Admins werden als Ausnahme definiert und dürfen RDP nutzen.
So macht es Sinn, wenn ihr genügend Admins seid.
Wir sind zu dritt, daher haben wir das Tiering nur auf bestimmte Dienste beschränkt, aber nicht wirklich tief.
Gruß
Marc
Die zusätzliche Hardware inkl. CALs wären mir zu umständlich, hoher Pflegeaufwand und zu teuer.
Lieber ordentliches Tiering, wie von @em-pie beschrieben.
Firewall unterbindet TCP/UDP Port 3389 aus dem Office VLAN auf die Server.
Die PC der Admins werden als Ausnahme definiert und dürfen RDP nutzen.
So macht es Sinn, wenn ihr genügend Admins seid.
Wir sind zu dritt, daher haben wir das Tiering nur auf bestimmte Dienste beschränkt, aber nicht wirklich tief.
Gruß
Marc
1
Kurz 2 centy von mir:
Auch bei 3 Admins kann ein AdminAccount in die falschen Hände gelangen oder gehackt werden ;)
Gruß
Wir sind zu dritt, daher haben wir das Tiering nur auf bestimmte Dienste beschränkt, aber nicht wirklich tief.
Auch bei 3 Admins kann ein AdminAccount in die falschen Hände gelangen oder gehackt werden ;)
Gruß
Zitat von @tech-flare:
Auch bei 3 Admins kann ein AdminAccount in die falschen Hände gelangen oder gehackt werden ;)
Auch bei 3 Admins kann ein AdminAccount in die falschen Hände gelangen oder gehackt werden ;)
Absolut korrekt. Es wurden die Risiken abgewogen, entsprechende "Einschwörungen" auf Geheimhaltung vorgenommen und damit war das bei uns gegessen.
Wenn an der Integrität der Admins gezweifelt wird, ist da eh etwas nicht in Ordnung.
Entsprechende Hygiene-Prozesse müssen natürlich implementiert sein für Austritte.
Daher sehe ich das Risiko bei uns als absolut vertretbar.
Ansonsten lerne ich sehr gerne dazu und stelle die Frage, wie eure Tier 0 / 1 Admin-Zugänge vor Mißbrauch geschützt sind?
Danke im Voraus.
Gruß
Marc
Zitat von @radiogugu:
HiAnsonsten lerne ich sehr gerne dazu und stelle die Frage, wie eure Tier 0 / 1 Admin-Zugänge vor Mißbrauch geschützt sind?
Alle mit MFA und nicht jeder Admin hat einen Tier0 Admin Account. Diese sind auf ein Minimum beschränkt.
Gruß und guten Start in die neue Woche
1
Moin,
Gruß,
Dani
Ansonsten lerne ich sehr gerne dazu und stelle die Frage, wie eure Tier 0 / 1 Admin-Zugänge vor Mißbrauch geschützt sind?
Wir nutzen anstatt einem Passwort gerne Smartcards. Weil diese nicht mal einfach kopiert und weiter gegeben werden können. Kritische Umgebungen wie z.B. Tier 0 werden wie Kollege @tech-flare bereits genannt haben mit MFA in Form von OTP zusätzlich gesichert.Gruß,
Dani
1
@tech-flare und @Dani:
Sind eure Server AAD joined oder habt ihr eine lokale MFA Lösung für die Windows Anmeldung im Einsatz?
Wenn Letzteres, welche ist es?
Danke für das Aufschlauen
Gruß
Marc
Sind eure Server AAD joined oder habt ihr eine lokale MFA Lösung für die Windows Anmeldung im Einsatz?
Wenn Letzteres, welche ist es?
Danke für das Aufschlauen
Gruß
Marc
Hi
In der Cloud wird Microsoft MFA eingesetzt und lokal gibt es verschiedene Ansätze. Smartcard oder Cisco Duo für RDP.
Sind eure Server AAD joined oder habt ihr eine lokale MFA Lösung für die Windows Anmeldung im Einsatz?
In der Cloud wird Microsoft MFA eingesetzt und lokal gibt es verschiedene Ansätze. Smartcard oder Cisco Duo für RDP.
1
Moin,
Gruß,
Dani
Wenn Letzteres, welche ist es?
Aktuell nutzen wir Thales Safenet mit OTP Hardware Token, OneSpan (ehemals VASCO) und RSA Secure ID. Es läuft aktuell ein PoC für einen kompletten Wechsel auf privacyIDEA.Gruß,
Dani
1