joedevlin
Goto Top

Jump-Server absichern

Hallo in die Runde!

Wir setzen in unserer Microsoft-Infrastruktur einen administrativen Server (Jump-Server) ein, von dem aus alle administrativen Tätigkeiten durchgeführt werden.

Hierzu verbinden wir uns via RDP von unseren Arbeitsplätzen mit dem Jump-Server, hierbei wird das administrative Konto verwendet, mit dem auch die Infrastruktur administriert wird. Dieser ist nicht Domänen-Admin, hat aber umfassende Berechtigungen. An den Arbeitsplätzen selbst wird sich mit einem "normalen" Benutzerkonto angemeldet. Die Infrastruktur ist mit ACLs so abgesichert, dass administrative Zugriffe nur vom Jump-Server aus möglich sind.

Ich möchte nun den Zugriff auf den Jump-Server weiter einschränken, leider lässt sich der RDP-Zugriff auf den Jump-Server nicht auf die Computer der Administratoren begrenzen, da von verschiedenen Standorten, aus verschiedenen VLANs zugegriffen wird, hierzu müsste zunächst die Infrastruktur angepasst werden. Denkbar wäre, dass die Notebooks in ein eigenes IT-VLAN kommen und hierfür auch ein separates WLAN errichtet wird.

Eine weitere Möglichkeit wäre die Absicherung der Benutzerkonten durch MFA, hierfür gibt es zurzeit keine Möglichkeit. Ich habe gelesen, dass dies über das Azure AD geht. Wir haben einen AD-Sync und setzen auch MFA ein, ggf. könnte ich dies über den NPS realisieren. Die Administratorkonten werden allerdings nicht gesynct, jedoch wäre dies dafür notwendig.

Wie handhabt ihr das? Habt ihr andere Vorschläge?

Content-ID: 82398167543

Url: https://administrator.de/forum/jump-server-absichern-82398167543.html

Ausgedruckt am: 25.12.2024 um 16:12 Uhr

DerWoWusste
DerWoWusste 06.09.2023 um 13:11:22 Uhr
Goto Top
Moin.

Wie bei jedem Sicherheitsprojekt steht am Anfang die Beschreibung was man wogegen schützen möchte. Das ist hier spärlich ausgefallen. Aber gut...

Falls Dein Jumphost ein Windows-Server ist, kannst du die Windows-Firewall mit als "sicher" ausgewiesenen Regeln bestücken. "Sichere" Regeln nutzen zum Beispiel Kerberosauthentifizierung. Somit ermöglichen sie dir zu definieren, welche Nutzer von welchem Rechner per RDP auf den Jumphost springen dürfen und das lässt sich nicht umgehen.

2FA für eure wichtigen Konten einführen kannst Du zudem so:
Tipp zur Nutzung von Zweitaccounts unter Windows
der so
TOTP für Windows-AD-Konten - open source!
JoeDevlin
JoeDevlin 06.09.2023 um 13:44:07 Uhr
Goto Top
Vielen Dank für die Tipps und Links!

Ich möchte mich gegen die Kompromittierung des Administratorkontos schützen und darüber hinaus sollen unzulässige RDP-Clients ausgeschlossen werden, um die Angriffsvektoren zu minimieren.
DerWoWusste
DerWoWusste 07.09.2023 um 08:56:56 Uhr
Goto Top
Da passen die beiden Links sehr gut.
Hinzufügen würde ich noch den Tipp, die Admins mit SmartCards zur Anmeldung auszustatten. Das geht mit Bordmitteln und kann sogar mit virtuellen SmartCards fix getestet werden ohne Kosten. Einzige Voraussetzung ist eine interne CA.
https://download.microsoft.com/download/5/a/b/5abdded2-f56e-427d-88c1-41 ... ->Abschnitt 3