nichtidentisch
Goto Top

Erfahrungen mit dem Admin Konzept

Grüßt euch Administratoren,

ich habe mich nun länger mit dem Thema "Admin Konzept" beschäftigt und wollte einmal nachfragen, ob Ihr gute bzw. schlechte Erfahrungen mit einigen der folgenden Themen gesammelt habt.

1. Ich habe das komplette Admin-Konzept mit dem Tiering von Usern und Servern bzw. Clients von Franky einmal durchgearbeitet (Teil 1-4)
www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/

In der Theorie klingt das alles ganz toll, ich bezweifle jedoch dass sich alles in der Praxis "easy" umsetzen lässt?
Setzt Ihr das Tiering aktiv ein, oder bekommt jeder Admin einfach einen "normalen" User für Emails, Tickets, Internet Zugriff etc., einen Server-User für die Administration der Server und ggf. noch einen Client Admin für die PC's/Notebooks/Drucker?
Für die Administration der Clients wäre vllt. einfach nur LAPS interessant?

Wird bei euch ein Tiering für die Server eingesetzt?
Wenn ja, auf welche Fehler seid ihr bei der Umsetzung gestoßen und wie aktiv werden die Server voneinander getrennt?

2. Jump Hosts
- Hier sehe ich auch mehrere Möglichkeiten:
-> Auf jedem Client werden die Management Tools installiert und mit run-as ausgeführt
-> Es werden Jump Hosts als Server- bzw. Client-VM auf einem ESX installiert und darauf laufen die Mgmt-Tools
-> Auf dem Lokalen Client wird eine VM installiert für die Mgmt-Tools

Habt ihr damit schon Erfahrungen gesammelt und gibt es eventuell eine weitere Interessant Option?

3. Das Windows Admin Center klingt auch sehr Interessant -> Admin Center
Gibt es hier ggf. auch einen Erfahrungsbericht?


Danke für eure Rückmeldung, eventuell habe ich ja auch noch eine weitere nützliche Option für eine Sichere Administration vergessen, ich bin für jeden Tipp / Vorschlag sehr dankbar!

Content-ID: 7904020724

Url: https://administrator.de/contentid/7904020724

Ausgedruckt am: 13.11.2024 um 09:11 Uhr

clSchak
clSchak 20.07.2023 aktualisiert um 08:32:28 Uhr
Goto Top
Hi

  • Admin User für jeden MA der IT-Abteilung + MFA via HardwareDongle (Yubikey)
  • JumpHost für Admin-Tools
  • Tierung jain
  • LAPS für das Client-Management

für das Tiering benötigst du eine passende Anzahl an MA, ansonsten wird der Verwaltungsaufwand zu groß. Bei uns hat kein IT MA mit seinem "Arbeitsaccount" irgendwo administrative Rechte, jeder hat dafür dedizierte Benutzer. Admin-Tools sind nur auf den Jumphosts, auf den Clients laufen ggf. Tools wie Putty usw. aber keine MGMT Tools.

Für Arbeiten innerhalb des AD setzen wir additive Tools ein, damit ist das delegieren einfacher, z.B. konnten wir über den Weg für einzelene Fachbereich Möglichkeiten schaffen, die Accounts von Dienstleister für Ihren Fachbereich bei Bedarf freizuschalten (kein Dienstleister hat permanenten Zugriff bei uns) oder der Personalabteilung die Möglichkeit geben, Fotos der MA anzupassen usw.

Gruß
@clSchak

Edit/Add: Bzgl. Tiering: der meiste Aufwand ist organisatorische Aufgabentrennung, dass muss funktionieren, dann ist das nicht mehr viel Aufwand
DCFan01
DCFan01 20.07.2023 um 08:44:27 Uhr
Goto Top
Zitat von @nichtidentisch:

Grüßt euch Administratoren,

ich habe mich nun länger mit dem Thema "Admin Konzept" beschäftigt und wollte einmal nachfragen, ob Ihr gute bzw. schlechte Erfahrungen mit einigen der folgenden Themen gesammelt habt.

1. Ich habe das komplette Admin-Konzept mit dem Tiering von Usern und Servern bzw. Clients von Franky einmal durchgearbeitet (Teil 1-4)
www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/

In der Theorie klingt das alles ganz toll, ich bezweifle jedoch dass sich alles in der Praxis "easy" umsetzen lässt?
Setzt Ihr das Tiering aktiv ein, oder bekommt jeder Admin einfach einen "normalen" User für Emails, Tickets, Internet Zugriff etc., einen Server-User für die Administration der Server und ggf. noch einen Client Admin für die PC's/Notebooks/Drucker?
Für die Administration der Clients wäre vllt. einfach nur LAPS interessant?

Wird bei euch ein Tiering für die Server eingesetzt?
Wenn ja, auf welche Fehler seid ihr bei der Umsetzung gestoßen und wie aktiv werden die Server voneinander getrennt?

2. Jump Hosts
- Hier sehe ich auch mehrere Möglichkeiten:
-> Auf jedem Client werden die Management Tools installiert und mit run-as ausgeführt
-> Es werden Jump Hosts als Server- bzw. Client-VM auf einem ESX installiert und darauf laufen die Mgmt-Tools
-> Auf dem Lokalen Client wird eine VM installiert für die Mgmt-Tools

Habt ihr damit schon Erfahrungen gesammelt und gibt es eventuell eine weitere Interessant Option?

3. Das Windows Admin Center klingt auch sehr Interessant -> Admin Center
Gibt es hier ggf. auch einen Erfahrungsbericht?


Danke für eure Rückmeldung, eventuell habe ich ja auch noch eine weitere nützliche Option für eine Sichere Administration vergessen, ich bin für jeden Tipp / Vorschlag sehr dankbar!

Zitat von @clSchak:

Hi

  • Admin User für jeden MA der IT-Abteilung + MFA via HardwareDongle (Yubikey)
  • JumpHost für Admin-Tools
  • Tierung jain
  • LAPS für das Client-Management

für das Tiering benötigst du eine passende Anzahl an MA, ansonsten wird der Verwaltungsaufwand zu groß. Bei uns hat kein IT MA mit seinem "Arbeitsaccount" irgendwo administrative Rechte, jeder hat dafür dedizierte Benutzer. Admin-Tools sind nur auf den Jumphosts, auf den Clients laufen ggf. Tools wie Putty usw. aber keine MGMT Tools.

Für Arbeiten innerhalb des AD setzen wir additive Tools ein, damit ist das delegieren einfacher, z.B. konnten wir über den Weg für einzelene Fachbereich Möglichkeiten schaffen, die Accounts von Dienstleister für Ihren Fachbereich bei Bedarf freizuschalten (kein Dienstleister hat permanenten Zugriff bei uns) oder der Personalabteilung die Möglichkeit geben, Fotos der MA anzupassen usw.

Gruß
@clSchak

Edit/Add: Bzgl. Tiering: der meiste Aufwand ist organisatorische Aufgabentrennung, dass muss funktionieren, dann ist das nicht mehr viel Aufwand


Welche Lösung setzt ihr als MFA Lösung ein? Ich such noch was für kleines Umfeld was möglichst einfach einzurichten ist.
clSchak
clSchak 20.07.2023 um 08:46:32 Uhr
Goto Top
Yubikey -> Hardwaredongle + PIN
nichtidentisch
nichtidentisch 20.07.2023 um 08:48:41 Uhr
Goto Top
Vielen Dank für deine Rückmeldung!

Bezüglich LAPS habe ich noch eine Frage, insofern Software oder ähnliches vom Netzwerk installiert werden muss, wie genau löst ihr das?

LAPS ist ja nur lokal, wie kommt Ihr dann ggf. an die benötigte Software, welche auf dem Netzlaufwerk liegt?
DerWoWusste
DerWoWusste 20.07.2023 um 11:18:26 Uhr
Goto Top
Moin.

Ich rate dir dringend, die Frage "abzurüsten" und auf mehrere Einzelfragen aufzuteilen.
Diese Riesenfrage zu beantworten kann nur zu einigem Durcheinander führen, wenn sich mehrere beteiligen.

Ich trage deshalb nur hanz spärlich bei:
Um Domänenadmins zu schützen würde ich:

  • Deren Konten in die Domänengruppe "Protected Users" einfügen
  • SmartCard-Anmeldung erforderlich machen
  • Denen eine echte oder (je nach Anwendungsfall) virtuelle SmartCard schreiben
  • Deren Anmelderecht auf Domänencontroller beschränken (ja, das ist Tiering)

Für Clientadministration würde ich LAPS nicht verwenden, da lokale Admins nicht auf Domänenressourcen kommen. Stattdessen mein eigenes Konzept: siehe Tipp zur Nutzung von Zweitaccounts unter Windows und Sicherer Umgang mit Supportkonten
jsysde
jsysde 20.07.2023 um 20:07:40 Uhr
Goto Top
Moin.

Zitat von @DerWoWusste:
[...]Um Domänenadmins zu schützen würde ich:>
  • Deren Konten in die Domänengruppe "Protected Users" einfügen[...]
Nur der kurze Hinweis: Das sollte man erst tun, wenn man sich der Konsequenzen bewusst ist.
https://learn.microsoft.com/en-us/windows-server/security/credentials-pr ...

Cheers,
jsysde