3
Jump-Server absichern
Hallo in die Runde!
Wir setzen in unserer Microsoft-Infrastruktur einen administrativen Server (Jump-Server) ein, von dem aus alle administrativen Tätigkeiten durchgeführt werden.
Hierzu verbinden wir uns via RDP von unseren Arbeitsplätzen mit dem Jump-Server, hierbei wird das administrative Konto verwendet, mit dem auch die Infrastruktur administriert wird. Dieser ist nicht Domänen-Admin, hat aber umfassende Berechtigungen. An den Arbeitsplätzen selbst wird sich mit einem "normalen" Benutzerkonto angemeldet. Die Infrastruktur ist mit ACLs so abgesichert, dass administrative Zugriffe nur vom Jump-Server aus möglich sind.
Ich möchte nun den Zugriff auf den Jump-Server weiter einschränken, leider lässt sich der RDP-Zugriff auf den Jump-Server nicht auf die Computer der Administratoren begrenzen, da von verschiedenen Standorten, aus verschiedenen VLANs zugegriffen wird, hierzu müsste zunächst die Infrastruktur angepasst werden. Denkbar wäre, dass die Notebooks in ein eigenes IT-VLAN kommen und hierfür auch ein separates WLAN errichtet wird.
Eine weitere Möglichkeit wäre die Absicherung der Benutzerkonten durch MFA, hierfür gibt es zurzeit keine Möglichkeit. Ich habe gelesen, dass dies über das Azure AD geht. Wir haben einen AD-Sync und setzen auch MFA ein, ggf. könnte ich dies über den NPS realisieren. Die Administratorkonten werden allerdings nicht gesynct, jedoch wäre dies dafür notwendig.
Wie handhabt ihr das? Habt ihr andere Vorschläge?
Wir setzen in unserer Microsoft-Infrastruktur einen administrativen Server (Jump-Server) ein, von dem aus alle administrativen Tätigkeiten durchgeführt werden.
Hierzu verbinden wir uns via RDP von unseren Arbeitsplätzen mit dem Jump-Server, hierbei wird das administrative Konto verwendet, mit dem auch die Infrastruktur administriert wird. Dieser ist nicht Domänen-Admin, hat aber umfassende Berechtigungen. An den Arbeitsplätzen selbst wird sich mit einem "normalen" Benutzerkonto angemeldet. Die Infrastruktur ist mit ACLs so abgesichert, dass administrative Zugriffe nur vom Jump-Server aus möglich sind.
Ich möchte nun den Zugriff auf den Jump-Server weiter einschränken, leider lässt sich der RDP-Zugriff auf den Jump-Server nicht auf die Computer der Administratoren begrenzen, da von verschiedenen Standorten, aus verschiedenen VLANs zugegriffen wird, hierzu müsste zunächst die Infrastruktur angepasst werden. Denkbar wäre, dass die Notebooks in ein eigenes IT-VLAN kommen und hierfür auch ein separates WLAN errichtet wird.
Eine weitere Möglichkeit wäre die Absicherung der Benutzerkonten durch MFA, hierfür gibt es zurzeit keine Möglichkeit. Ich habe gelesen, dass dies über das Azure AD geht. Wir haben einen AD-Sync und setzen auch MFA ein, ggf. könnte ich dies über den NPS realisieren. Die Administratorkonten werden allerdings nicht gesynct, jedoch wäre dies dafür notwendig.
Wie handhabt ihr das? Habt ihr andere Vorschläge?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 82398167543
Url: https://administrator.de/contentid/82398167543
Printed on: April 28, 2024 at 12:04 o'clock
3 Comments
Latest comment
Moin.
Wie bei jedem Sicherheitsprojekt steht am Anfang die Beschreibung was man wogegen schützen möchte. Das ist hier spärlich ausgefallen. Aber gut...
Falls Dein Jumphost ein Windows-Server ist, kannst du die Windows-Firewall mit als "sicher" ausgewiesenen Regeln bestücken. "Sichere" Regeln nutzen zum Beispiel Kerberosauthentifizierung. Somit ermöglichen sie dir zu definieren, welche Nutzer von welchem Rechner per RDP auf den Jumphost springen dürfen und das lässt sich nicht umgehen.
2FA für eure wichtigen Konten einführen kannst Du zudem so:
Tipp zur Nutzung von Zweitaccounts unter Windows
der so
TOTP für Windows-AD-Konten - open source!
Wie bei jedem Sicherheitsprojekt steht am Anfang die Beschreibung was man wogegen schützen möchte. Das ist hier spärlich ausgefallen. Aber gut...
Falls Dein Jumphost ein Windows-Server ist, kannst du die Windows-Firewall mit als "sicher" ausgewiesenen Regeln bestücken. "Sichere" Regeln nutzen zum Beispiel Kerberosauthentifizierung. Somit ermöglichen sie dir zu definieren, welche Nutzer von welchem Rechner per RDP auf den Jumphost springen dürfen und das lässt sich nicht umgehen.
2FA für eure wichtigen Konten einführen kannst Du zudem so:
Tipp zur Nutzung von Zweitaccounts unter Windows
der so
TOTP für Windows-AD-Konten - open source!
2
Vielen Dank für die Tipps und Links!
Ich möchte mich gegen die Kompromittierung des Administratorkontos schützen und darüber hinaus sollen unzulässige RDP-Clients ausgeschlossen werden, um die Angriffsvektoren zu minimieren.
Ich möchte mich gegen die Kompromittierung des Administratorkontos schützen und darüber hinaus sollen unzulässige RDP-Clients ausgeschlossen werden, um die Angriffsvektoren zu minimieren.
Da passen die beiden Links sehr gut.
Hinzufügen würde ich noch den Tipp, die Admins mit SmartCards zur Anmeldung auszustatten. Das geht mit Bordmitteln und kann sogar mit virtuellen SmartCards fix getestet werden ohne Kosten. Einzige Voraussetzung ist eine interne CA.
https://download.microsoft.com/download/5/a/b/5abdded2-f56e-427d-88c1-41 ... ->Abschnitt 3
Hinzufügen würde ich noch den Tipp, die Admins mit SmartCards zur Anmeldung auszustatten. Das geht mit Bordmitteln und kann sogar mit virtuellen SmartCards fix getestet werden ohne Kosten. Einzige Voraussetzung ist eine interne CA.
https://download.microsoft.com/download/5/a/b/5abdded2-f56e-427d-88c1-41 ... ->Abschnitt 3
