thenetworker
Goto Top

Admin Tiering Umsetzung

Hallo,

wir beschäftigen uns gerade auch mit dem Thema Admin Tiering. Mich würde eure Meinung zu folgendem Ansatz bezüglich Sicherheit interessieren.

Der Admin meldet sich auf seinem physischen PC mit seinem unprivilegiertes Konto an (nicht in AD). Auf diesem Admin PC ist nur das Betriebssysteme, keine weitere Software installiert. Dieser Admin PC ist in einem eigenen VLAN oder direkt an einem Ethernet Port der Firewall. Dieser Admin PC hat keinen Internet Zugang! Von diesem Admin PC aus wird per RDP auf die Server und per RDP auf eine "Office-VM" verbunden auf dieser wird dann Office, E-Mail, Internet etc. ausgeführt. Admin PC, Server und Office-VM sind in getrennten VLANs und durch die Firewall getrennt.
Der Vorteil dieser Lösung wäre nicht immer zwischen Office PC und Admin PC wechseln zu müssen.
Bin auf eure Meinung gespannt, danke!

Content-Key: 84034447993

Url: https://administrator.de/contentid/84034447993

Printed on: May 18, 2024 at 16:05 o'clock

Member: tech-flare
tech-flare Jan 13, 2024 updated at 06:44:04 (UTC)
Goto Top
Hallo,

Das ist aber kein Tiering im eigentlichen Sinnen.

Bei uns arbeitet auch die IT mit "normalen" User Account auf ihren Office PC. Die Admin Account sind wie folgt aufgeteilt.

Admin Account für Clients - Tier 2
Admin Account für Server - Tier1
Admin Account für DomainController - Tier0

Mit einem AdminAccount für Server kannst du dich auch nicht bei Client anmelden und auch nicht über Netzwerk (C$) etc. zugreifen.

Bei Frankysweb gibt es da eine sehr gute Anleitung dafür.

Ps.: Wie erhält dein Admin PC Updates für das OS und AntivirenDefinitionsUpdates?

Gruß
Member: TheNetworker
TheNetworker Jan 13, 2024 at 07:16:34 (UTC)
Goto Top
Hallo,

eigene Admin Accounts für Client, Server, DC wie von dir beschrieben haben wir schon.
Uns geht es um den RDP Zugriff. Vom Office PC aus würde ein Angreifer eventuell per RDP (Sicherheitslücke, Keylogger etc.) auf die Server etc. kommen.
Daher die Überlegung jeder Admin bekommen 2 PC/NBs (Office und Admin PC/NB) oder eben wie oben beschrieben 1 Admin PC mit RDP für Server und per RDP auf eine VM für Office.

Bezüglich Windows Update/AV hast du recht. Wir könnten bei der Firewall die MS und AV Updates Server freigeben.

LG
Member: radiogugu
radiogugu Jan 13, 2024 at 08:07:13 (UTC)
Goto Top
Moin.

Die zusätzliche Hardware inkl. CALs wären mir zu umständlich, hoher Pflegeaufwand und zu teuer.

Lieber ordentliches Tiering, wie von @em-pie beschrieben.
Firewall unterbindet TCP/UDP Port 3389 aus dem Office VLAN auf die Server.

Die PC der Admins werden als Ausnahme definiert und dürfen RDP nutzen.

So macht es Sinn, wenn ihr genügend Admins seid.

Wir sind zu dritt, daher haben wir das Tiering nur auf bestimmte Dienste beschränkt, aber nicht wirklich tief.

Gruß
Marc
Member: tech-flare
tech-flare Jan 13, 2024 updated at 09:34:23 (UTC)
Goto Top
Zitat von @radiogugu:

Moin.
Kurz 2 centy von mir:

Wir sind zu dritt, daher haben wir das Tiering nur auf bestimmte Dienste beschränkt, aber nicht wirklich tief.

Auch bei 3 Admins kann ein AdminAccount in die falschen Hände gelangen oder gehackt werden ;)

Gruß
Member: radiogugu
radiogugu Jan 13, 2024 at 11:22:53 (UTC)
Goto Top
Zitat von @tech-flare:
Auch bei 3 Admins kann ein AdminAccount in die falschen Hände gelangen oder gehackt werden ;)

Absolut korrekt. Es wurden die Risiken abgewogen, entsprechende "Einschwörungen" auf Geheimhaltung vorgenommen und damit war das bei uns gegessen.

Wenn an der Integrität der Admins gezweifelt wird, ist da eh etwas nicht in Ordnung.

Entsprechende Hygiene-Prozesse müssen natürlich implementiert sein für Austritte.

Daher sehe ich das Risiko bei uns als absolut vertretbar.

Ansonsten lerne ich sehr gerne dazu und stelle die Frage, wie eure Tier 0 / 1 Admin-Zugänge vor Mißbrauch geschützt sind?

Danke im Voraus.

Gruß
Marc
Member: tech-flare
tech-flare Jan 14, 2024 at 20:20:57 (UTC)
Goto Top
Zitat von @radiogugu:
Hi

Ansonsten lerne ich sehr gerne dazu und stelle die Frage, wie eure Tier 0 / 1 Admin-Zugänge vor Mißbrauch geschützt sind?

Alle mit MFA und nicht jeder Admin hat einen Tier0 Admin Account. Diese sind auf ein Minimum beschränkt.

Gruß und guten Start in die neue Woche
Member: Dani
Dani Jan 15, 2024 at 11:20:36 (UTC)
Goto Top
Moin,
Ansonsten lerne ich sehr gerne dazu und stelle die Frage, wie eure Tier 0 / 1 Admin-Zugänge vor Mißbrauch geschützt sind?
Wir nutzen anstatt einem Passwort gerne Smartcards. Weil diese nicht mal einfach kopiert und weiter gegeben werden können. Kritische Umgebungen wie z.B. Tier 0 werden wie Kollege @tech-flare bereits genannt haben mit MFA in Form von OTP zusätzlich gesichert.


Gruß,
Dani
Member: radiogugu
radiogugu Jan 15, 2024 updated at 11:58:16 (UTC)
Goto Top
@tech-flare und @Dani:

Sind eure Server AAD joined oder habt ihr eine lokale MFA Lösung für die Windows Anmeldung im Einsatz?

Wenn Letzteres, welche ist es?

Danke für das Aufschlauen face-smile

Gruß
Marc
Member: tech-flare
tech-flare Jan 15, 2024 at 13:49:07 (UTC)
Goto Top
Hi

Sind eure Server AAD joined oder habt ihr eine lokale MFA Lösung für die Windows Anmeldung im Einsatz?

In der Cloud wird Microsoft MFA eingesetzt und lokal gibt es verschiedene Ansätze. Smartcard oder Cisco Duo für RDP.
Member: Dani
Dani Jan 15, 2024 at 18:52:37 (UTC)
Goto Top
Moin,
Wenn Letzteres, welche ist es?
Aktuell nutzen wir Thales Safenet mit OTP Hardware Token, OneSpan (ehemals VASCO) und RSA Secure ID. Es läuft aktuell ein PoC für einen kompletten Wechsel auf privacyIDEA.


Gruß,
Dani