beck2oldschool
Goto Top

Lokale Admin Konten mit MFA absichern

Hallo zusammen,
gibt es eine, möglichst kostenlose oder zumindest kostengünstige, Lösung um lokale Admin Konten auf Windows Server per MFA abzusichern?
Konkret geht es um meinen Backup Server, der logischerweise vom AD getrennt ist und nur zwei lokale Admin Konten hat. Und genau die würde ich gerne mit einem zweiten Faktor versorgen, z.B. einem OTP.
Ich setze zwar NetIQ Advanced Authentication ein, aber da muss ich ein Repository mit der Benutzerverwaltung angeben, eben z.B. ein AD. Das geht aber ja bei lokalen Konten nicht.

Hat hier jemand vielleicht schon etwas im Einsatz?

Danke im Voraus.

Michael

Content-ID: 668782

Url: https://administrator.de/forum/lokale-admin-konten-mit-mfa-absichern-668782.html

Ausgedruckt am: 22.12.2024 um 05:12 Uhr

DerWoWusste
Lösung DerWoWusste 15.10.2024 aktualisiert um 09:28:58 Uhr
Goto Top
Hi.

Deine Beschreibung lässt noch Fragen offen face-smile

Wenn Du damit Maschinen/Daten aus der Domäne sicherst, warum ist dann "logischerweise" der Backupserver nicht im AD? Ich kann mir vorstellen, dass Du die Vorstellung hast, ohne Domänenmitgliedschaft wäre das sicherer, aber beschreibe doch einmal, warum der nicht im AD ist.

Dann musst Du bitte das OS des Backupservers nennen und auch, wie Du dich dort anmeldest (Konsole und/oder RDP)?

Nicht zuletzt die Frage: warum willst Du MFA nutzen?
Welche Gefahren siehst Du?
Ist der Backupserver in einem sicheren Raum, oder nicht?

Ich nenne dir dennoch spontan 3 einfache Tools für MFA bei lokalen Konten:
Yubico Login (eine Software von Yubico, die mit Yubikeys zusammen kombinierbar ist - nur wer Yubikey und PW hat, kommt rein)
EIDauthenticate - kombinierbar mit einer virtuellen oder physikalischen SmartCard kann man sich per Smartcard + PIN anmelden
Rohos Logon Key - Kennwort plus USB-key

Darüber hinaus kann man natürlich auch mit Biometrie arbeiten, wenn Ihr das wollt.
godlie
godlie 15.10.2024 um 09:37:42 Uhr
Goto Top
Hallo,

solange du das ganze mit Windof betreibst, kannst du mit MFA baden gehen .... Denn das Problem besteht darunter.

Denk immer daran MFA brauch eine Person ( Token / Passwort / Handy ..... )

Ein Backup Server soll gleich Administrierbar sein, wie der Server, den er ersetzt.

MFA ist ein netter Gedanke, aber nervrt in der Praxis vom feinsten, keiner will X Apps oder X Tockns am Schlüsselbund.

grüße
beck2oldschool
beck2oldschool 15.10.2024 um 10:06:19 Uhr
Goto Top
Danke schonmal für eure Antworten!

Ich gehe von einem Windows Server 2022 aus. Anmeldung per RDP, da der Server in einem verschlossenen Raum und Schrank steht. Da der dahinterliegende User aber unabhängig von Login Verfahren ist, also Konsole oder Remote, hab ich das mal außer Acht gelassen.

Also der Gedanke ist folgender. Ich gehe von einem Ransomware Angriff aus. Ein Angreifer schafft es irgendwie in mein Netz, durch Klick eines Users auf einen Link, Email Anhang, was auch immer. Das erste, was ich als Hacker/Erpresser tun würde wenn ich "drin bin" wäre, zu versuchen das Backup zu zerstören. Aus dem Grund ist mein Backup Server nicht an das AD gebunden, sondern hat eben lokale Admins mit komplexem Passwort. Das ist meines Wissens nach eine Empfehlung von Veeam. Ich finde das nur gerade nicht auf die Schnelle.
Nun möchte ich eben genau diesen Admin User zusätzlich noch mit einem zweiten Faktor absichern. Sollte also irgendwie (z.B. Keylogger o.ä.) das Kennwort dieses Admin in falsche Hände kommen, fehlt immer noch der zweite Faktor.
Ein Freund von mir hat in seinem Konstruktionsbüro aktuell einen Ransomware Befall. Und das erste was bei dem Angriff zerstört wurde, war eben das Backup. Deswegen möchte ich das so gut wie möglich absichern.

Yubico ist auf jedenfall schonmal ein guter Hinweis. Das hatte ich tatsächlich vor einigen Jahren mal getestet. Wir loggen uns aktuell sowieso mit FIDO2 Sticks an den PCs ein. Von daher wäre die Hardware nicht das Problem. Das kann ich nochmal angehen.

Rohos hab ich vorhin per Google gefunden.
godlie
godlie 15.10.2024 um 10:08:46 Uhr
Goto Top
. Aus dem Grund ist mein Backup Server nicht an das AD gebunden, sondern hat eben lokale Admins mit komplexem Passwort. Das ist meines Wissens nach eine Empfehlung von Veeam. Ich finde das nur gerade nicht auf die Schnelle.
Nun möchte ich eben genau diesen Admin User zusätzlich noch mit einem zweiten Faktor absichern

Nun wie soll sich dein Backup Server mit MFA am Hauptserver melden zum Backup machen? Da würde es dann immer eine Person brauchen, automatisierte Backups, Gute Nacht
beck2oldschool
beck2oldschool 15.10.2024 um 10:12:04 Uhr
Goto Top
Zitat von @godlie:


MFA ist ein netter Gedanke, aber nervrt in der Praxis vom feinsten, keiner will X Apps oder X Tockns am Schlüsselbund.

Erfahrungsgemäß tut das nur am Anfang weh. Wie geschrieben setzen wir MFA auf allen PCs ein. Das (komplexe) Windows Passwort muss man so oder so eingeben. Und danach noch eine PIN + FIDO2 Key drücken ist auch kein Aufwand mehr. Oder, wenn Push eingerichtet, klicke ich auf dem Smartphone nochmal nen Button. Das funktioniert beides auch im Außendienst auf Surface Geräten super.
Vor allem sind die FIDO2 Key am Schlüsselbund des Users. Verlässt er den Raum / Firma, nimmt er seinen Schlüssel mit und der PC ist damit gleich gesperrt.
beck2oldschool
beck2oldschool 15.10.2024 aktualisiert um 10:15:37 Uhr
Goto Top
Zitat von @godlie:

Nun wie soll sich dein Backup Server mit MFA am Hauptserver melden zum Backup machen? Da würde es dann immer eine Person brauchen, automatisierte Backups, Gute Nacht

Ich sichere mit Veeam VMs vom vCenter. Dort gibt es einen (lokalen) User mit einem sehr langen und komplexen Kennwort. Das muss man dann auch nirgends eingeben. Und dieser User hat natürlich auch nur die Berechtigungen, die er auch tatsächlich braucht...
Mir geht es um die User, die sich interaktiv an dem Server anmelden müssen.
godlie
godlie 15.10.2024 um 10:15:42 Uhr
Goto Top
Zitat von @beck2oldschool:

Zitat von @godlie:


MFA ist ein netter Gedanke, aber nervrt in der Praxis vom feinsten, keiner will X Apps oder X Tockns am Schlüsselbund.

Erfahrungsgemäß tut das nur am Anfang weh. Wie geschrieben setzen wir MFA auf allen PCs ein. Das (komplexe) Windows Passwort muss man so oder so eingeben. Und danach noch eine PIN + FIDO2 Key drücken ist auch kein Aufwand mehr. Oder, wenn Push eingerichtet, klicke ich auf dem Smartphone nochmal nen Button. Das funktioniert beides auch im Außendienst auf Surface Geräten super.
Vor allem sind die FIDO2 Key am Schlüsselbund des Users. Verlässt er den Raum / Firma, nimmt er seinen Schlüssel mit und der PC ist damit gleich gesperrt.

Hm du hast scheinbar Junge Mitarbeiter die den "Aufwand" mitmachen...
beck2oldschool
beck2oldschool 15.10.2024 um 10:16:36 Uhr
Goto Top
Nein, aber was bleibt ihnen anderes übrig?
godlie
godlie 15.10.2024 um 10:16:47 Uhr
Goto Top
Zitat von @beck2oldschool:

Zitat von @godlie:

Nun wie soll sich dein Backup Server mit MFA am Hauptserver melden zum Backup machen? Da würde es dann immer eine Person brauchen, automatisierte Backups, Gute Nacht

Ich sichere mit Veeam VMs vom vCenter. Dort gibt es einen (lokalen) User mit einem sehr langen und komplexen Kennwort. Das muss man dann auch nirgends eingeben. Und dieser User hat natürlich auch nur die Berechtigungen, die er auch tatsächlich braucht...
Mir geht es um die User, die sich interaktiv an dem Server anmelden müssen.

Denk nochmal kurz nach, Backup Server MFA, !Use!r die sich anmelden können ......
DerWoWusste
DerWoWusste 15.10.2024 aktualisiert um 10:19:57 Uhr
Goto Top
Für Ratschläge in Punkto Sicherheit fehlt in der Tat noch die Beschreibung, wie denn Backups geschrieben werden: push (Prozess am Client) oder pull (Prozess am Server)? Zudem musst Du nennen, welche Nutzer dabei handeln, wird dazu ein Domänennutzer verwendet?

Die Vorstellung "Mitarbeiter fällt auf eine Mail rein und kurz danach wird das Backup angreifbar" ist sehr weit hergeholt - dazwischen muss sehr viel passieren, was Nachlässigkeit der Admins voraussetzt. Den Server aus der Domäne zu nehmen macht oft mehr Probleme, als dass es Sicherheiten schafft.

Beispiel: Nutzerrechner ist infiziert, Angreifer steuert ihn und hat Adminrechte erlangt. Er kann nun alles zerstören, was beschreibbar ist von:
allen Nutzern, die sich an dem Client anmelden
dem, was das Systemkonto des PCs löschen kann

Das darf nicht viel sein. Wenn er damit alle Backups der Firma beschreiben kann, dann muss er ja zuvor in Besitz eines mächtigen Kontos gekommen sein, was per se niemals auf einem Client eingesetzt werden darf und somit ist dieses Szenario einzig und allein möglich, wenn der Admin schon zuvor die einfachsten Tiering-Grundsätze nicht beherzigt hat.
kpunkt
kpunkt 15.10.2024 um 10:26:31 Uhr
Goto Top
Ich hab hier dieselbe Konstellation.
Veeam B&R 12 ist auf einem W2k22 außerhalb der Domäne.
Da werden die VMs weggesichert, da brauchts keinen Zugang zur Domäne.
Ich hab da aber RDP deaktiviert. Zugriff erfolgt ausschließlich über das vCenter.
Da jetzt noch ein MFA wär mir zuviel. Man ist zwar nicht oft drauf auf der Maschine, aber mir ist erst später aufgefallen, dass da ein ^vor einem Vokal im Passwort generiert wurde. Das ist immer nervig einzutippen. Und jedesmal nehm ich mir vor, das Passwort zu ändern, lass es aber dann doch, weil braucht man ja nicht oft.
beck2oldschool
beck2oldschool 15.10.2024 um 10:34:32 Uhr
Goto Top
Ja, absolut richtig. Da muss schon viel passieren, bis man auf den Backup Server kommt. Da ich mir der Komplexität des Ganzen bewusst bin, möchte ich es eben auch bestmöglich absichern. Und ein zweiter Faktor tut mir nicht weh.

Das ich ein Admin Tier Modell mit PAWs einsetze ist obligatorisch. Auch LAPS und umbenannter lokaler "Administrator" ist selbstverständlich. Wie auch viele weitere Maßnahmen, die zur Sicherheit beitragen. Ich mach den Job ja auch schon ein paar Tage. Und einen Admin der alles darf und ein reines Antivirus auf den PCs reicht eben einfach nicht mehr aus. Das war vor 20 Jahren noch so. Administration ist unbequem geworden. Das ist einfach so.

Wie gesagt, in dem Thread geht es mir rein um die Absicherung der lokalen Admins auf dem Backup Server.
godlie
godlie 15.10.2024 um 10:36:11 Uhr
Goto Top
Viel Aufwand für wenig mehr an Sicherheit, Komfort geht flöten .... Setz als Backup Server eine Linux / BSD Maschine ein, gewinnste mehr .....
beck2oldschool
beck2oldschool 15.10.2024 um 10:38:03 Uhr
Goto Top
Zitat von @kpunkt:
Ich hab da aber RDP deaktiviert.

Ich eben schon hin und wieder. Sei es für Windows Updates / Server Reboot oder Veeam Updates oder neue Tapes in den Media Pool zu schieben. Klar könnte man die Konsole auch z.B. auf eine PAW packen. Aber auf der PAW will ich auch wieder so wenig wie möglich Software haben.
beck2oldschool
beck2oldschool 15.10.2024 um 10:40:49 Uhr
Goto Top
Zitat von @godlie:

Viel Aufwand für wenig mehr an Sicherheit, Komfort geht flöten .... Setz als Backup Server eine Linux / BSD Maschine ein, gewinnste mehr .....

Und das finde ich Unsinn. Welcher Komfort geht denn flöten? Durch Eingabe einer 6 stelligen Zahl nach einem Windows Passwort? Und nur der Schwenk auf Unix Derivat bringt auch Null,Null mehr an Sicherheit.
godlie
godlie 15.10.2024 um 10:42:53 Uhr
Goto Top
Zitat von @beck2oldschool:

Zitat von @godlie:

Viel Aufwand für wenig mehr an Sicherheit, Komfort geht flöten .... Setz als Backup Server eine Linux / BSD Maschine ein, gewinnste mehr .....

Und das finde ich Unsinn. Welcher Komfort geht denn flöten? Durch Eingabe einer 6 stelligen Zahl nach einem Windows Passwort? Und nur der Schwenk auf Unix Derivat bringt auch Null,Null mehr an Sicherheit.

Mhm sagte der KlickuBunitAdmin face-smile
beck2oldschool
beck2oldschool 15.10.2024 um 10:46:15 Uhr
Goto Top
Ja, genau richtig! Damit kenne ich mich aus. Das mache ich seit Windows NT 3.5. Schuster, bleib bei deinen Leisten!

Ich hab auch 4 Ubuntu Server, so ist das nicht. Aber auch die wollen richtig (!!!) administriert und vor allem abgesichert werden. Deswegen sage ich ja, einfach nur Linux statt Windows einzusetzen bringt erstmal gar nichts.
godlie
godlie 15.10.2024 um 10:49:03 Uhr
Goto Top
bleib bei deinen Leisten!

Bitte bleib bei deinen Leisten

grüße
RoundRobin
Lösung RoundRobin 15.10.2024 aktualisiert um 10:51:59 Uhr
Goto Top
Hi!

Veeam hat schon die Funktionalität (MFA)

Funktioniert ebenfalls mit lokalen accounts... da brauchst du kein AD

https://helpcenter.veeam.com/docs/backup/vsphere/mfa.html?ver=120
kpunkt
kpunkt 15.10.2024 um 10:56:14 Uhr
Goto Top
Zitat von @RoundRobin:

Veeam hat schon die Funktionalität (MFA)
Wieder mal was Neues.
Setzt zwar quasi eine Ebene später an, würde aber IMHO komplett ausreichen.
pebcak7123
pebcak7123 15.10.2024 aktualisiert um 10:59:50 Uhr
Goto Top
Moin, Duo sollte das können., hat auch eine offline funktion.
was hier bestimmte user von sich geben wird ja langsam echt lächerlich. Natürlich ist es best-practice den Veeam B&R Server nicht in der Domäne zu haben. Und nur weil man nen Unix-Betriebssystem irgendwo einsetzt wirds nicht automatisch sicherer, vor allem geht es nicht mit Veeam. Und weit hergeholt ist es nicht das ein Angreifer versuchen wird sich domain-admin rechte zu beschaffen und die backups zu manipulieren.
Aber ist schon klar wenn statt mit sachlichen argumenten mit klickubunti und "Windof" angefangen wird ( und sogar noch bewusst der Filter für die Begriffe umgangen wird)
beck2oldschool
beck2oldschool 15.10.2024 um 11:04:31 Uhr
Goto Top
Zitat von @RoundRobin:

Veeam hat schon die Funktionalität (MFA)

Funktioniert ebenfalls mit lokalen accounts... da brauchst du kein AD

https://helpcenter.veeam.com/docs/backup/vsphere/mfa.html?ver=120

Cool, das wusste ich auch nicht. Schau ich mir gleich mal an! Danke auch dafür!
beck2oldschool
beck2oldschool 15.10.2024 um 11:05:41 Uhr
Goto Top
Danke!!! Ich wollte das aus Respekt so nicht kommentieren face-wink
em-pie
em-pie 15.10.2024 um 20:59:02 Uhr
Goto Top
Zitat von @kpunkt:

Zitat von @RoundRobin:

Veeam hat schon die Funktionalität (MFA)
Wieder mal was Neues.
Setzt zwar quasi eine Ebene später an, würde aber IMHO komplett ausreichen.

Sicher?
Der Böhse Bube meldet sich am Windows an und löscht dir dein Backup-Repository auf File-Ebene…

Aber auch da bin ich bei @DerWoWusste
Bis da hin gab es schon viele Löcher..

Warum meldet ihr euch eigentlich mit Admin-Rechten an Windows an? Normaler User reicht. Innerhalb von VEEAM bekommt der User dann passende Rollen.

Und wenn die Kiste mal administriert werden muss, holt man sich den Zugabg aus Keepass/ dem Zettel im Safe…


Zitat von @godlie:

Viel Aufwand für wenig mehr an Sicherheit, Komfort geht flöten .... Setz als Backup Server eine Linux / BSD Maschine ein, gewinnste mehr .....
Genau mein Humor face-smile
https://www.heise.de/news/Perfectl-Linux-Malware-laesst-Server-heimlich- ...
Backupserver, egal welches OS, hat im „Normalen“ Netzwerk nichts verloren. Erst recht nicht im Internet. Updates kann man alle offline bereitstellen face-smile
JoeDevlin
JoeDevlin 16.10.2024 um 09:35:27 Uhr
Goto Top
Guten Morgen,

wir haben unseren Veeam Backup-Server nicht im AD, RDP ist nur von der administrativen Workstation möglich und es werden lokale Benutzer verwendet. In Veeam selbst haben wir MFA aktiviert, die Veeam-Console ist auf der Admin-Workstation installiert, so dass der RDP-Zugriff lediglich zu Wartungszwecken (Updates, etc.) notwendig ist.

Der einzige Angriffsvektor wäre RDP über die Admin-Workstation, dort könnte der Zugriff auf das lokale Backuprepository erfolgen, jedoch ist ein Tape-Backup sowie ein hardened Repository vorhanden.
RoundRobin
RoundRobin 16.10.2024 um 09:36:30 Uhr
Goto Top
Zitat von @em-pie:

Zitat von @kpunkt:

Zitat von @RoundRobin:

Veeam hat schon die Funktionalität (MFA)
Wieder mal was Neues.
Setzt zwar quasi eine Ebene später an, würde aber IMHO komplett ausreichen.

Sicher?
Der Böhse Bube meldet sich am Windows an und löscht dir dein Backup-Repository auf File-Ebene…



Backup-Repository ist in unserem Design nicht die selbe VM. (Kein Windows) + Backup-Copy Job (Immutable Storage). Um Jobs, Repositories etc. zu managen benötigt man dann entsprechend (Veeam)MFA
Ich persönlich würde die Funktionalität des Veeam MFA auf jeden Fall konfigurieren..
MaxCalifornia
MaxCalifornia 16.10.2024 um 10:03:20 Uhr
Goto Top
Zitat von @RoundRobin:

Backup-Copy Job (Immutable Storage).

Nutzen wir auch, liegt natürlich an einem anderen Standort. Wenn dann das RZ abraucht und gleichzeitig das Speichersystem mit dem Immutable Backup am anderen Standort geklaut wird ... wäre wie ein Jackpot im Lotto.
beck2oldschool
beck2oldschool 16.10.2024 um 10:11:50 Uhr
Goto Top
Hat noch jemand was zu meiner Frage "Welche MFA Lösung für lokale Admins" beizutragen? Oder war es das dann?

Dann könnten auch die Glaskugeln wieder im Schrank verschwinden...
kaba-cart
kaba-cart 18.10.2024 um 15:38:38 Uhr
Goto Top
Für welche Lösung habt iht euch entschieden?
beck2oldschool
beck2oldschool 21.10.2024 um 08:03:27 Uhr
Goto Top
Noch keine. Das einzige, was hier im Thread rum kam, war
  • Yubico Login
  • EIDauthenticate
  • Rohos Logon Key
von DerWoWusste und Veeams eigene MFA von RoundRobin.

Das muss ich jetzt erstmal alles durchtesten.
DerWoWusste
DerWoWusste 21.10.2024 um 08:47:37 Uhr
Goto Top
JakiHergerson
JakiHergerson 21.10.2024 um 14:25:18 Uhr
Goto Top
Zitat von @beck2oldschool:

Danke schonmal für eure Antworten!

Ich gehe von einem Windows Server 2022 aus. Anmeldung per RDP, da der Server in einem verschlossenen Raum und Schrank steht. Da der dahinterliegende User aber unabhängig von Login Verfahren ist, also Konsole oder Remote, hab ich das mal außer Acht gelassen.

Also der Gedanke ist folgender. Ich gehe von einem Ransomware Angriff aus. Ein Angreifer schafft es irgendwie in mein Netz, durch Klick eines Users auf einen Link, Email Anhang, was auch immer. Das erste, was ich als Hacker/Erpresser tun würde wenn ich "drin bin" wäre, zu versuchen das Backup zu zerstören. Aus dem Grund ist mein Backup Server nicht an das AD gebunden, sondern hat eben lokale Admins mit komplexem Passwort. Das ist meines Wissens nach eine Empfehlung von Veeam. Ich finde das nur gerade nicht auf die Schnelle.
Nun möchte ich eben genau diesen Admin User zusätzlich noch mit einem zweiten Faktor absichern. Sollte also irgendwie (z.B. Keylogger o.ä.) das Kennwort dieses Admin in falsche Hände kommen, fehlt immer noch der zweite Faktor.
Ein Freund von mir hat in seinem Konstruktionsbüro aktuell einen Ransomware Befall. Und das erste was bei dem Angriff zerstört wurde, war eben das Backup. Deswegen möchte ich das so gut wie möglich absichern.

Yubico ist auf jedenfall schonmal ein guter Hinweis. Das hatte ich tatsächlich vor einigen Jahren mal getestet. Wir loggen uns aktuell sowieso mit FIDO2 Sticks an den PCs ein. Von daher wäre die Hardware nicht das Problem. Das kann ich nochmal angehen.

Rohos hab ich vorhin per Google gefunden.

genau so erlebt, danach war der HV-Cluster eine eigene Domäne und der Backupserver nicht mehr Domainjoined, wir hatten den Kunden eine Woche vorher übernommen und gerade die Modernisierung geplant, ging dann schneller als gedacht 😂😂