Welches Konzept fuer Adminaccounts in der AD

Mitglied: winlin

winlin (Level 2) - Jetzt verbinden

30.03.2016, aktualisiert 08:43 Uhr, 5232 Aufrufe, 9 Kommentare

Hallo Leute,

ich möchte in meinem AD die Adminaccounts separieren um möglichst wenig Angriffsfläche zu bieten. Das wäre einer der ersten Punkte aus dem Dokument "Securing the Active Directory". Also ich möchte so wenig wie möglich Domain-Admins haben. Es sollen z.B. Admins nur für GPOs geben oder für´s Computer Management (Computer Objekte) etc.

Könnt ihr mir paar Vorschläge machen welche Art von Admins ich einrichten müsste??? sollte ich hier in der AD mit "Dlegation Control" arbeiten?
Mitglied: DerWoWusste
30.03.2016 um 09:41 Uhr
Moin.

Domänenclients müssen eigene Adminkonten haben, eines pro Rechner, und nicht mit den Domänenadmins gewartet werden - das ist wirklich wichtig.
Schau Dir mal meinen Beitrag an: https://www.administrator.de/wissen/sicherer-umgang-supportkonten-262066 ...
Für Tipps zum AD musst Du zunächst mal die Problemstellung klarer machen - was befürchtest Du, wogegen möchtest Du schützen?
Bitte warten ..
Mitglied: emeriks
30.03.2016 um 11:21 Uhr
Hi,
wie groß ist denn die Organisation und wieviele IT-Mitarbeiter hat diese und welche Aufgaben haben diese?

Bei uns sind DIE Administratoren-Konten der Domänen mit langen, kryptischen Passwörtern versehen, welche keiner kennt. (liegen im Safe der GF)
Jeder IT-Mitarbeiter hat zwei Konten: Eins für die normale Arbeit ohne Admin-Rechte und eins für die Administration mit den notwendigen Adminrechten (ADM-Kontren). Für die Zuteilung der Adminrechte haben wir Rollen-Gruppen (ADM-Rollen) erstellt. Diesen Gruppen wurden die entsprechenden Berechtigungebn erteilt. Die ADM-Konten sind Mitglieder in den betreffenden ADM-Rollen.

Die ADM-Rollen bekommen ihre Rechte über alle möglichen, dafür vorgesehenen Mechanismen:
- Active Directory --> Verwaltungsdelegierung
(- zwei ADM-Konten sind direkt Mitglied der Organisations-Admins)
- Rechte am Member --> "eingeschränkte Gruppen" und/oder direkt erteilte Privilegien (per GPO)
- Fileserver --> NTFS-Rechte auf freigebene Ordner
usw. usw.

E.
Bitte warten ..
Mitglied: winlin
31.03.2016 um 08:52 Uhr
Also wir haben aktuell im Adminteam mehrere Kollegen, welche einen personalisierten AD-Account haben. Diese Accounts haben komplette AD Domain Admins Rights. Dies werden wir nun so machen, das ein Admin wie jeder normale Benutzer einen Domain-User-Account hat (also diese Rechte). Dazu dann einen Administratoraccount.

nun möchte ich aber das nicht jeder Admin Domain-admin-rights bekommt - möchte die Adminrollen separieren, z.b.:
- Domain Admins
- GPO Admins
- User/Group Admins
- ComputerObject Admins

Nun ist die Frage wie ich das umsetze??? Bei Domain Admins ist es klar - diese bekommen die Rechte "DomainAdmins", bzw. ich könnte doch auch das ganze mit delegate control machen, oder??? Einen GPO Admin könnte ich auch im gpmc verwalten - und zwar wenn ich die OU auswähle die er verwalten soll, dann auf den Reiter Delegate und hier den entsprechenden Admin der die GPO verwalten soll hinzufügen?!? Das selbe würde ich dann auch für Admins für Computer Objekte und Benutzerverwaltung tun.....

nun die Frage - sollte es noch weitere Adminrollen geben, oder passt das? Im Endeffekt wird es nur 1-3 Domain Admins geben, und dazu zu den o.g. Rollenkonzepten jeweils 2 Admins (GPO, Computer, User). Die Verwaltung dieser Rechte würde ich über Delegate Control machen.

Aber so wie ich verstanden habe soll es besser keine Admins geben mit Domainadminaccounts auf die sie immer zugriff haben???? Es wäre also sinnvoll Domain-Admins anzulegen und diese keinem Adminzuzuweisen sondern in den safe zu tun, stimmts?

So wie ich es oben beschrieben habe geht das sicherlich....aber ich möchte in meinem AD Gruppen anlegen (AD-Admin, GPO-Admin, ComputerObject-Admin, UserMgmt-Admin).
Oder würdet ihr das anders machen?
Bitte warten ..
Mitglied: DerWoWusste
31.03.2016 um 09:08 Uhr
Hi.

Um auf deine Fragen zu antworten, müssten meine zuerst beantwortet werden.
Bitte warten ..
Mitglied: emeriks
31.03.2016, aktualisiert um 15:12 Uhr
@winlin
Ich vermute, was DWW meint: Gemeinhin wird mit "Domain-Admin" jener verstanden, der alles in der Domäne darf. Defacto muss man aber unterscheiden zwischen Admin in der Domäne und Admin auf den Domänenmitgliedern (Workstations und Server). Und als DIE Domain-Admin sind eher jene zu verstehen, welche auf den Domänenmitgliedern Admins sind. Admin in der Domäne sind die BuiltIn Administrators. Je nachdem, wie da bei Euch das Konzept aussieht, kann das schon einen sehr großen Unterschied machen.

Zum Domain-Admin äquivalente Rechte in der Domäne per Verwaltungsdelegierung zu erteilen, ist zwar technisch möglich, aber m.E. ziemlich sinnfrei.
Du kannst aber sehr wohl punktgenau Rechte vergeben. Z.B. dass jemand nur bestimmte Konten und Gruppen verwalten kann, oder bestimmte Objekte nur in bestimmten OU's erstellen kann. usw.
Möglichweise reichen aber auch die Standardgruppen dafür schon aus. Es gibt Server-Operatoren, Backup-Operatoren, Konten-Admin usw. Schau sie Dir doch mal an. Hinweis dazu: Diese Gruppen im Container "BuiltIn" sind nur für Domaincontroller gültig. Die Doku von MS ist da mitunter etwas missverständlich. Die analog auf den Nicht-DCs exisitierenden Gruppen musst Du ggf. manuell oder per GPO "eingeschränkte Gruppen" füllen.

"GPO erstellen" und "GPO verlinken" sind zwei verschiedene Rechte und können nicht auf einen Punkt konzentriert werden. Man kann also nicht sagen, jemand kann nur an einer OU GPO erstellen und verlinken. "GPO erstellen" ist ein Recht in der Domäne allgemein. Eine vorhandene "GPO verlinken" ist ein Recht für einen Container. Wenn Du einen Benutzer einsetzen willst, der zwar GPO erstellen, diese aber nicht verlinken darf, dann musst Du die Standardberechtigungen für neue GPO-Objekte in der Domnäne ändern. (How to change the default permissions on GPOs) Wenn Du einem ermächtigen möchtest, GPO's zu verlinken, diese aber nicht erstellen und bearbeiten zu dürfen, dann musst Du das über die Verwaltungsdelegierung machen.
Bitte warten ..
Mitglied: DerWoWusste
31.03.2016 um 15:17 Uhr
Nee, ich suche lediglich Antworten auf
was befürchtest Du, wogegen möchtest Du schützen?
Bisher kam nur "möglichst wenig Angriffsfläche bieten" - schwammig. Und "ich möchte so wenig wie möglich Domain-Admins haben" - präzise, jedoch fehlt die Angabe von Gründen.
Bitte warten ..
Mitglied: winlin
01.04.2016 um 08:38 Uhr
Vielen Dank für die wirklich informativen Angaben - hat mir schon wirklich weitergeholfen :-) face-smile

An die Frage "was befürchtest Du, wogegen möchtest Du schützen?"
Ich möchte keinen HoneyPot bereitstellen - bzw. müssen wir unser AD nach bestimmten Richtlinien härten, welche sich an das Dokument von MS anlehnen "Securing Active Directory". Mitunter ist das Adminaccount Konzept eines unter vielen. Und mit etwas möchte man anfangen. Wir haben bereits sehr viel gehärtet und sind da secure - lediglich unser Adminkonzept (Accounts etc.) haben wir noch nicht angegangen. Das möchten wir nun umsetzen.

Ziel ist es das die mächtigen Domänenadmins beschränkt werden auf einige Personen/Accounts. Es soll für verschiedene Aufgabengebiete jeweiles eigene Admins geben. Z.b. für die GPO jemand der erstellen kann, jemand der verlinken kann, Computerobject Admins etc.
Bitte warten ..
Mitglied: DerWoWusste
02.04.2016, aktualisiert um 13:43 Uhr
wir müssen unser AD nach bestimmten Richtlinien härten, welche sich an das Dokument von MS anlehnen "Securing Active Directory".
Das Dokument kenne ich und der zu deinen angedeuteten Absichten passende Bereich ist eine Seite lang. Der zutreffendste Satz ist wohl "Privileged accounts (and accounts added to privileged groups) can perform specific tasks, but only those that are relevant to their duties." Und dazu suchst Du nun Rat, um ein Konzept zu erstellen. Dazu frage ich mehrfach "was befürchtest Du, wogegen möchtest Du schützen" aber Du gibst weder Befürchtungen an, noch wogegen Du schützen möchtest, sondern verkriechst Dich hinter dem Dokument.
Würdest Du aus der Deckung kommen und schreiben "ich befürchte, dass derzeit..." oder "ich möchte gegen x schützen", dann könnte ich Dir Tipps zum Konzept geben.

Versteh mich nicht falsch, ich sehe, dass Du ganz konkret dabei bist, Rollen zu separieren - das kann ja auch gute Effekte haben. Es kann aber auch sinnlos sein, je nachdem wie Eure Lage nun aussieht, wer was administrieren soll, wie Eure Practices sind und wie sie auch kontrolliert werden.

Wenn ich einen guten Tipp aus der Hüfte schießen sollte, dann den bereits gegebenen. Lasst die Nutzerrechner nicht mit Domänenadminkonten in Berührung kommen. Das ist das größte Problem, was immer wieder Einbrüche begünstigt und z.B. auch zur Kaperung des Bundestagsnetzes geführt hat. Und glaub mal, die hatten sich auch ein Konzept gemacht, wie sie administrative Aufgaben aufteilen.

Aber zurück zu Euren Admins. Geh bitte auf die Fragen ein in Bezug auf Eure administrativen Tätigkeiten und Workflows und Eure Rollenverteilung. Dann könnte Dir auch geholfen werden.
Bitte warten ..
Mitglied: winlin
14.04.2016 um 10:20 Uhr
Hallo,
sorry für die verspätete Antwort - war leider ne Weile krank. Vor was ich mich scchützen möchte, was ich befürchte? Nun ja, eben das durch die Kaperung des ADs, der Angreifer locker dieses übernehmen kann. Aktuell haben wir einige Admins bei uns die einen AD-Account haben, der viel zu viel Rechte hat. U.a. Domain-Admin - was ein no-go ist. Und vor allen dann ein no-go wenn ich jetzt zwei weitere Standorte an dieses AD binden möchte. Müssen jetzt das AD härten, Rollenkonzept erarbeiten (welcher Admin darf was tun), domänen-admin-accounts dürfen nicht mehr genutzt werden. Domänen accounts am besten in safe sperren lassen :-) face-smile. GPO Regeln mit deny logon erstellen und one hop kritische systeme identifizieren.

Nun ja für das Hardening des ADs werde ich nichts desto trotz das Dokument durcharbeiten und sehen was bei uns umsetzbar ist. Werde dann domainadmin-rechte den Admins entziehen und am besten eine oder zwei domain-admin-accounts in den safe sperren lassen. Dann wird es für die verschiedenen Aufgaben im AD bestimmte Adminaccounts geben zw. delegieren oder über advanced settings einrichten, z.b. (User Management, Comp-Mgmt, Group-Mgmt, GPO-Admin etc.). Die Gruppenberechtigungen evtl. in mehrere Berechtigungsstufen aufsplitten und Gruppen checken das sie nicht alle auf global gesetzt sind......
Bitte warten ..
Heiß diskutierte Inhalte
Microsoft
STRG + ALT + ENTF
TezzlaVor 1 TagAllgemeinMicrosoft12 Kommentare

Mahlzeit zusammen, wir haben gerade im Kollegenkreis über Sinn und Unsinn der Sperrbildschirmentriegelung STRG + ALT + ENTF unter Win10 diskutiert. Mich würde hierzu ...

Video & Streaming
Streamingplattform mit eigenen Servern
gelöst icegetVor 1 TagFrageVideo & Streaming6 Kommentare

Hallo liebe Community, ich würde gerne via Amazaon AWS (oder andere Cloudanbietern) mehrere Serverinstanzen (Streaming) starten, um z.B. 2000 Personen den selben Stream den ...

Hardware
Outdoor LAN sichern mit oder ohne Fritzbox Verständnis Frage
bluescreenVor 1 TagFrageHardware15 Kommentare

Hallo zusammen, ich habe die letzten Stunden schon viel hier gelesen, stehe aber ein wenig auf dem Schlauch, wie und wo ich weiter suchen ...

Windows Server
Nutzer als lokaler Admin in Windows Server 2019
hanheikVor 1 TagFrageWindows Server6 Kommentare

Hallo, in SBS 2011 konnte ich ganz einfach einen Nutzer als lokalen Admin einstellen. Windows fragte dann, für welchen Rechner; Rechner auswählen; fertig! In ...

Windows Netzwerk
Telefone im Netzwerk bekannt machen
jannik0205Vor 21 StundenFrageWindows Netzwerk13 Kommentare

Hallo Zusammen, In unserem Unternehmen gibt es eine Telefonanlage mit eigenem Telefonienetz (192.168.5.X). Schließe ich ein Telefon an eine Netzwerkdose, bekommt es vom DHCP- ...

Windows 10
Windows 7 pro Lizenz nutzen für Windows 10
lukas0209Vor 16 StundenFrageWindows 1013 Kommentare

Hallo Community, ich versuche seit einigen Wochen unser Netzwerk von Windows Server 2008 R2 Standard auf Windows Server 2016 Essentials um, welches eine städtische ...

Datenschutz
Übergang von "Sorgfaltspflicht" im Datenschutz
ukulele-7Vor 1 TagFrageDatenschutz7 Kommentare

Hallo zusammen, mir ist eine, zugegeben eher juristische, Frage in den Sinn gekommen. In unserer Branche arbeiten wir mit sensiblen, personenbezogenen Daten die natürlich ...

Windows Server
Remotedesktop Lizenzzierungsserver
Leffe69Vor 1 TagFrageWindows Server11 Kommentare

Hallo! Ich habe zwei Win Server ohne AD: Win 2019 Standard - Auf diesem sind die RDS Zugriffslizenzen installiert. Win 2008 R2 - Dieser ...