9
Welches Konzept fuer Adminaccounts in der AD
Hallo Leute,
ich möchte in meinem AD die Adminaccounts separieren um möglichst wenig Angriffsfläche zu bieten. Das wäre einer der ersten Punkte aus dem Dokument "Securing the Active Directory". Also ich möchte so wenig wie möglich Domain-Admins haben. Es sollen z.B. Admins nur für GPOs geben oder für´s Computer Management (Computer Objekte) etc.
Könnt ihr mir paar Vorschläge machen welche Art von Admins ich einrichten müsste??? sollte ich hier in der AD mit "Dlegation Control" arbeiten?
ich möchte in meinem AD die Adminaccounts separieren um möglichst wenig Angriffsfläche zu bieten. Das wäre einer der ersten Punkte aus dem Dokument "Securing the Active Directory". Also ich möchte so wenig wie möglich Domain-Admins haben. Es sollen z.B. Admins nur für GPOs geben oder für´s Computer Management (Computer Objekte) etc.
Könnt ihr mir paar Vorschläge machen welche Art von Admins ich einrichten müsste??? sollte ich hier in der AD mit "Dlegation Control" arbeiten?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 300360
Url: https://administrator.de/contentid/300360
Printed on: April 19, 2024 at 10:04 o'clock
9 Comments
Latest comment
Moin.
Domänenclients müssen eigene Adminkonten haben, eines pro Rechner, und nicht mit den Domänenadmins gewartet werden - das ist wirklich wichtig.
Schau Dir mal meinen Beitrag an: Sicherer Umgang mit Supportkonten
Für Tipps zum AD musst Du zunächst mal die Problemstellung klarer machen - was befürchtest Du, wogegen möchtest Du schützen?
Domänenclients müssen eigene Adminkonten haben, eines pro Rechner, und nicht mit den Domänenadmins gewartet werden - das ist wirklich wichtig.
Schau Dir mal meinen Beitrag an: Sicherer Umgang mit Supportkonten
Für Tipps zum AD musst Du zunächst mal die Problemstellung klarer machen - was befürchtest Du, wogegen möchtest Du schützen?
Hi,
wie groß ist denn die Organisation und wieviele IT-Mitarbeiter hat diese und welche Aufgaben haben diese?
Bei uns sind DIE Administratoren-Konten der Domänen mit langen, kryptischen Passwörtern versehen, welche keiner kennt. (liegen im Safe der GF)
Jeder IT-Mitarbeiter hat zwei Konten: Eins für die normale Arbeit ohne Admin-Rechte und eins für die Administration mit den notwendigen Adminrechten (ADM-Kontren). Für die Zuteilung der Adminrechte haben wir Rollen-Gruppen (ADM-Rollen) erstellt. Diesen Gruppen wurden die entsprechenden Berechtigungebn erteilt. Die ADM-Konten sind Mitglieder in den betreffenden ADM-Rollen.
Die ADM-Rollen bekommen ihre Rechte über alle möglichen, dafür vorgesehenen Mechanismen:
- Active Directory --> Verwaltungsdelegierung
(- zwei ADM-Konten sind direkt Mitglied der Organisations-Admins)
- Rechte am Member --> "eingeschränkte Gruppen" und/oder direkt erteilte Privilegien (per GPO)
- Fileserver --> NTFS-Rechte auf freigebene Ordner
usw. usw.
E.
wie groß ist denn die Organisation und wieviele IT-Mitarbeiter hat diese und welche Aufgaben haben diese?
Bei uns sind DIE Administratoren-Konten der Domänen mit langen, kryptischen Passwörtern versehen, welche keiner kennt. (liegen im Safe der GF)
Jeder IT-Mitarbeiter hat zwei Konten: Eins für die normale Arbeit ohne Admin-Rechte und eins für die Administration mit den notwendigen Adminrechten (ADM-Kontren). Für die Zuteilung der Adminrechte haben wir Rollen-Gruppen (ADM-Rollen) erstellt. Diesen Gruppen wurden die entsprechenden Berechtigungebn erteilt. Die ADM-Konten sind Mitglieder in den betreffenden ADM-Rollen.
Die ADM-Rollen bekommen ihre Rechte über alle möglichen, dafür vorgesehenen Mechanismen:
- Active Directory --> Verwaltungsdelegierung
(- zwei ADM-Konten sind direkt Mitglied der Organisations-Admins)
- Rechte am Member --> "eingeschränkte Gruppen" und/oder direkt erteilte Privilegien (per GPO)
- Fileserver --> NTFS-Rechte auf freigebene Ordner
usw. usw.
E.
Also wir haben aktuell im Adminteam mehrere Kollegen, welche einen personalisierten AD-Account haben. Diese Accounts haben komplette AD Domain Admins Rights. Dies werden wir nun so machen, das ein Admin wie jeder normale Benutzer einen Domain-User-Account hat (also diese Rechte). Dazu dann einen Administratoraccount.
nun möchte ich aber das nicht jeder Admin Domain-admin-rights bekommt - möchte die Adminrollen separieren, z.b.:
- Domain Admins
- GPO Admins
- User/Group Admins
- ComputerObject Admins
Nun ist die Frage wie ich das umsetze??? Bei Domain Admins ist es klar - diese bekommen die Rechte "DomainAdmins", bzw. ich könnte doch auch das ganze mit delegate control machen, oder??? Einen GPO Admin könnte ich auch im gpmc verwalten - und zwar wenn ich die OU auswähle die er verwalten soll, dann auf den Reiter Delegate und hier den entsprechenden Admin der die GPO verwalten soll hinzufügen?!? Das selbe würde ich dann auch für Admins für Computer Objekte und Benutzerverwaltung tun.....
nun die Frage - sollte es noch weitere Adminrollen geben, oder passt das? Im Endeffekt wird es nur 1-3 Domain Admins geben, und dazu zu den o.g. Rollenkonzepten jeweils 2 Admins (GPO, Computer, User). Die Verwaltung dieser Rechte würde ich über Delegate Control machen.
Aber so wie ich verstanden habe soll es besser keine Admins geben mit Domainadminaccounts auf die sie immer zugriff haben???? Es wäre also sinnvoll Domain-Admins anzulegen und diese keinem Adminzuzuweisen sondern in den safe zu tun, stimmts?
So wie ich es oben beschrieben habe geht das sicherlich....aber ich möchte in meinem AD Gruppen anlegen (AD-Admin, GPO-Admin, ComputerObject-Admin, UserMgmt-Admin).
Oder würdet ihr das anders machen?
nun möchte ich aber das nicht jeder Admin Domain-admin-rights bekommt - möchte die Adminrollen separieren, z.b.:
- Domain Admins
- GPO Admins
- User/Group Admins
- ComputerObject Admins
Nun ist die Frage wie ich das umsetze??? Bei Domain Admins ist es klar - diese bekommen die Rechte "DomainAdmins", bzw. ich könnte doch auch das ganze mit delegate control machen, oder??? Einen GPO Admin könnte ich auch im gpmc verwalten - und zwar wenn ich die OU auswähle die er verwalten soll, dann auf den Reiter Delegate und hier den entsprechenden Admin der die GPO verwalten soll hinzufügen?!? Das selbe würde ich dann auch für Admins für Computer Objekte und Benutzerverwaltung tun.....
nun die Frage - sollte es noch weitere Adminrollen geben, oder passt das? Im Endeffekt wird es nur 1-3 Domain Admins geben, und dazu zu den o.g. Rollenkonzepten jeweils 2 Admins (GPO, Computer, User). Die Verwaltung dieser Rechte würde ich über Delegate Control machen.
Aber so wie ich verstanden habe soll es besser keine Admins geben mit Domainadminaccounts auf die sie immer zugriff haben???? Es wäre also sinnvoll Domain-Admins anzulegen und diese keinem Adminzuzuweisen sondern in den safe zu tun, stimmts?
So wie ich es oben beschrieben habe geht das sicherlich....aber ich möchte in meinem AD Gruppen anlegen (AD-Admin, GPO-Admin, ComputerObject-Admin, UserMgmt-Admin).
Oder würdet ihr das anders machen?
Hi.
Um auf deine Fragen zu antworten, müssten meine zuerst beantwortet werden.
Um auf deine Fragen zu antworten, müssten meine zuerst beantwortet werden.
@winlin
Ich vermute, was DWW meint: Gemeinhin wird mit "Domain-Admin" jener verstanden, der alles in der Domäne darf. Defacto muss man aber unterscheiden zwischen Admin in der Domäne und Admin auf den Domänenmitgliedern (Workstations und Server). Und als DIE Domain-Admin sind eher jene zu verstehen, welche auf den Domänenmitgliedern Admins sind. Admin in der Domäne sind die BuiltIn Administrators. Je nachdem, wie da bei Euch das Konzept aussieht, kann das schon einen sehr großen Unterschied machen.
Zum Domain-Admin äquivalente Rechte in der Domäne per Verwaltungsdelegierung zu erteilen, ist zwar technisch möglich, aber m.E. ziemlich sinnfrei.
Du kannst aber sehr wohl punktgenau Rechte vergeben. Z.B. dass jemand nur bestimmte Konten und Gruppen verwalten kann, oder bestimmte Objekte nur in bestimmten OU's erstellen kann. usw.
Möglichweise reichen aber auch die Standardgruppen dafür schon aus. Es gibt Server-Operatoren, Backup-Operatoren, Konten-Admin usw. Schau sie Dir doch mal an. Hinweis dazu: Diese Gruppen im Container "BuiltIn" sind nur für Domaincontroller gültig. Die Doku von MS ist da mitunter etwas missverständlich. Die analog auf den Nicht-DCs exisitierenden Gruppen musst Du ggf. manuell oder per GPO "eingeschränkte Gruppen" füllen.
"GPO erstellen" und "GPO verlinken" sind zwei verschiedene Rechte und können nicht auf einen Punkt konzentriert werden. Man kann also nicht sagen, jemand kann nur an einer OU GPO erstellen und verlinken. "GPO erstellen" ist ein Recht in der Domäne allgemein. Eine vorhandene "GPO verlinken" ist ein Recht für einen Container. Wenn Du einen Benutzer einsetzen willst, der zwar GPO erstellen, diese aber nicht verlinken darf, dann musst Du die Standardberechtigungen für neue GPO-Objekte in der Domnäne ändern. (How to change the default permissions on GPOs) Wenn Du einem ermächtigen möchtest, GPO's zu verlinken, diese aber nicht erstellen und bearbeiten zu dürfen, dann musst Du das über die Verwaltungsdelegierung machen.
Ich vermute, was DWW meint: Gemeinhin wird mit "Domain-Admin" jener verstanden, der alles in der Domäne darf. Defacto muss man aber unterscheiden zwischen Admin in der Domäne und Admin auf den Domänenmitgliedern (Workstations und Server). Und als DIE Domain-Admin sind eher jene zu verstehen, welche auf den Domänenmitgliedern Admins sind. Admin in der Domäne sind die BuiltIn Administrators. Je nachdem, wie da bei Euch das Konzept aussieht, kann das schon einen sehr großen Unterschied machen.
Zum Domain-Admin äquivalente Rechte in der Domäne per Verwaltungsdelegierung zu erteilen, ist zwar technisch möglich, aber m.E. ziemlich sinnfrei.
Du kannst aber sehr wohl punktgenau Rechte vergeben. Z.B. dass jemand nur bestimmte Konten und Gruppen verwalten kann, oder bestimmte Objekte nur in bestimmten OU's erstellen kann. usw.
Möglichweise reichen aber auch die Standardgruppen dafür schon aus. Es gibt Server-Operatoren, Backup-Operatoren, Konten-Admin usw. Schau sie Dir doch mal an. Hinweis dazu: Diese Gruppen im Container "BuiltIn" sind nur für Domaincontroller gültig. Die Doku von MS ist da mitunter etwas missverständlich. Die analog auf den Nicht-DCs exisitierenden Gruppen musst Du ggf. manuell oder per GPO "eingeschränkte Gruppen" füllen.
"GPO erstellen" und "GPO verlinken" sind zwei verschiedene Rechte und können nicht auf einen Punkt konzentriert werden. Man kann also nicht sagen, jemand kann nur an einer OU GPO erstellen und verlinken. "GPO erstellen" ist ein Recht in der Domäne allgemein. Eine vorhandene "GPO verlinken" ist ein Recht für einen Container. Wenn Du einen Benutzer einsetzen willst, der zwar GPO erstellen, diese aber nicht verlinken darf, dann musst Du die Standardberechtigungen für neue GPO-Objekte in der Domnäne ändern. (How to change the default permissions on GPOs) Wenn Du einem ermächtigen möchtest, GPO's zu verlinken, diese aber nicht erstellen und bearbeiten zu dürfen, dann musst Du das über die Verwaltungsdelegierung machen.
Nee, ich suche lediglich Antworten auf
was befürchtest Du, wogegen möchtest Du schützen?
Bisher kam nur "möglichst wenig Angriffsfläche bieten" - schwammig. Und "ich möchte so wenig wie möglich Domain-Admins haben" - präzise, jedoch fehlt die Angabe von Gründen.
Vielen Dank für die wirklich informativen Angaben - hat mir schon wirklich weitergeholfen 
An die Frage "was befürchtest Du, wogegen möchtest Du schützen?"
Ich möchte keinen HoneyPot bereitstellen - bzw. müssen wir unser AD nach bestimmten Richtlinien härten, welche sich an das Dokument von MS anlehnen "Securing Active Directory". Mitunter ist das Adminaccount Konzept eines unter vielen. Und mit etwas möchte man anfangen. Wir haben bereits sehr viel gehärtet und sind da secure - lediglich unser Adminkonzept (Accounts etc.) haben wir noch nicht angegangen. Das möchten wir nun umsetzen.
Ziel ist es das die mächtigen Domänenadmins beschränkt werden auf einige Personen/Accounts. Es soll für verschiedene Aufgabengebiete jeweiles eigene Admins geben. Z.b. für die GPO jemand der erstellen kann, jemand der verlinken kann, Computerobject Admins etc.
An die Frage "was befürchtest Du, wogegen möchtest Du schützen?"
Ich möchte keinen HoneyPot bereitstellen - bzw. müssen wir unser AD nach bestimmten Richtlinien härten, welche sich an das Dokument von MS anlehnen "Securing Active Directory". Mitunter ist das Adminaccount Konzept eines unter vielen. Und mit etwas möchte man anfangen. Wir haben bereits sehr viel gehärtet und sind da secure - lediglich unser Adminkonzept (Accounts etc.) haben wir noch nicht angegangen. Das möchten wir nun umsetzen.
Ziel ist es das die mächtigen Domänenadmins beschränkt werden auf einige Personen/Accounts. Es soll für verschiedene Aufgabengebiete jeweiles eigene Admins geben. Z.b. für die GPO jemand der erstellen kann, jemand der verlinken kann, Computerobject Admins etc.
wir müssen unser AD nach bestimmten Richtlinien härten, welche sich an das Dokument von MS anlehnen "Securing Active Directory".
Das Dokument kenne ich und der zu deinen angedeuteten Absichten passende Bereich ist eine Seite lang. Der zutreffendste Satz ist wohl "Privileged accounts (and accounts added to privileged groups) can perform specific tasks, but only those that are relevant to their duties." Und dazu suchst Du nun Rat, um ein Konzept zu erstellen. Dazu frage ich mehrfach "was befürchtest Du, wogegen möchtest Du schützen" aber Du gibst weder Befürchtungen an, noch wogegen Du schützen möchtest, sondern verkriechst Dich hinter dem Dokument.Würdest Du aus der Deckung kommen und schreiben "ich befürchte, dass derzeit..." oder "ich möchte gegen x schützen", dann könnte ich Dir Tipps zum Konzept geben.
Versteh mich nicht falsch, ich sehe, dass Du ganz konkret dabei bist, Rollen zu separieren - das kann ja auch gute Effekte haben. Es kann aber auch sinnlos sein, je nachdem wie Eure Lage nun aussieht, wer was administrieren soll, wie Eure Practices sind und wie sie auch kontrolliert werden.
Wenn ich einen guten Tipp aus der Hüfte schießen sollte, dann den bereits gegebenen. Lasst die Nutzerrechner nicht mit Domänenadminkonten in Berührung kommen. Das ist das größte Problem, was immer wieder Einbrüche begünstigt und z.B. auch zur Kaperung des Bundestagsnetzes geführt hat. Und glaub mal, die hatten sich auch ein Konzept gemacht, wie sie administrative Aufgaben aufteilen.
Aber zurück zu Euren Admins. Geh bitte auf die Fragen ein in Bezug auf Eure administrativen Tätigkeiten und Workflows und Eure Rollenverteilung. Dann könnte Dir auch geholfen werden.
Hallo,
sorry für die verspätete Antwort - war leider ne Weile krank. Vor was ich mich scchützen möchte, was ich befürchte? Nun ja, eben das durch die Kaperung des ADs, der Angreifer locker dieses übernehmen kann. Aktuell haben wir einige Admins bei uns die einen AD-Account haben, der viel zu viel Rechte hat. U.a. Domain-Admin - was ein no-go ist. Und vor allen dann ein no-go wenn ich jetzt zwei weitere Standorte an dieses AD binden möchte. Müssen jetzt das AD härten, Rollenkonzept erarbeiten (welcher Admin darf was tun), domänen-admin-accounts dürfen nicht mehr genutzt werden. Domänen accounts am besten in safe sperren lassen. GPO Regeln mit deny logon erstellen und one hop kritische systeme identifizieren.
Nun ja für das Hardening des ADs werde ich nichts desto trotz das Dokument durcharbeiten und sehen was bei uns umsetzbar ist. Werde dann domainadmin-rechte den Admins entziehen und am besten eine oder zwei domain-admin-accounts in den safe sperren lassen. Dann wird es für die verschiedenen Aufgaben im AD bestimmte Adminaccounts geben zw. delegieren oder über advanced settings einrichten, z.b. (User Management, Comp-Mgmt, Group-Mgmt, GPO-Admin etc.). Die Gruppenberechtigungen evtl. in mehrere Berechtigungsstufen aufsplitten und Gruppen checken das sie nicht alle auf global gesetzt sind......
sorry für die verspätete Antwort - war leider ne Weile krank. Vor was ich mich scchützen möchte, was ich befürchte? Nun ja, eben das durch die Kaperung des ADs, der Angreifer locker dieses übernehmen kann. Aktuell haben wir einige Admins bei uns die einen AD-Account haben, der viel zu viel Rechte hat. U.a. Domain-Admin - was ein no-go ist. Und vor allen dann ein no-go wenn ich jetzt zwei weitere Standorte an dieses AD binden möchte. Müssen jetzt das AD härten, Rollenkonzept erarbeiten (welcher Admin darf was tun), domänen-admin-accounts dürfen nicht mehr genutzt werden. Domänen accounts am besten in safe sperren lassen
. GPO Regeln mit deny logon erstellen und one hop kritische systeme identifizieren.Nun ja für das Hardening des ADs werde ich nichts desto trotz das Dokument durcharbeiten und sehen was bei uns umsetzbar ist. Werde dann domainadmin-rechte den Admins entziehen und am besten eine oder zwei domain-admin-accounts in den safe sperren lassen. Dann wird es für die verschiedenen Aufgaben im AD bestimmte Adminaccounts geben zw. delegieren oder über advanced settings einrichten, z.b. (User Management, Comp-Mgmt, Group-Mgmt, GPO-Admin etc.). Die Gruppenberechtigungen evtl. in mehrere Berechtigungsstufen aufsplitten und Gruppen checken das sie nicht alle auf global gesetzt sind......
