5
Tier 0 und 3rd Party Software
Sehr geehrte Admins!
hat jemand von euch einen Link oder Information darüber, warum man auf einem Tier 0 AD Server keine 3rd Party Software installieren sollte? Lt. unserem Dienstleister soll das sogar Microsoft empfohlen haben. Im Netz fand ich bis jetzt dazu nichts.
Die 3rd Party Software steuert einen Dienst, welcher das DNS Log ausliest, die IP-Adressen und DNS-Hostnames samt Usernamen an einen DNS-Resolver sendet um zu sehen, welcher Client den Block ausgelöst hat.
Eine andere 3rd Party Software wäre, ein Security Agent, welcher eine Cloudverbindung (nur outbound) durchführt.
Wie ist da eure Erfahrung?
LG
Rob
hat jemand von euch einen Link oder Information darüber, warum man auf einem Tier 0 AD Server keine 3rd Party Software installieren sollte? Lt. unserem Dienstleister soll das sogar Microsoft empfohlen haben. Im Netz fand ich bis jetzt dazu nichts.
Die 3rd Party Software steuert einen Dienst, welcher das DNS Log ausliest, die IP-Adressen und DNS-Hostnames samt Usernamen an einen DNS-Resolver sendet um zu sehen, welcher Client den Block ausgelöst hat.
Eine andere 3rd Party Software wäre, ein Security Agent, welcher eine Cloudverbindung (nur outbound) durchführt.
Wie ist da eure Erfahrung?
LG
Rob
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 831725025
Url: https://administrator.de/contentid/831725025
Ausgedruckt am: 26.11.2024 um 10:11 Uhr
5 Kommentare
Neuester Kommentar
Hi Rob,
Sicherheit und Verfügbarkeit sind Gründe, es nicht zu tun. Dass es manchmal nicht anders geht bzw. der Nutzen die Risiken überwiegt, sind Gründe, es zu tun.
Was nicht geht, gerade für einen Dienstleister: Solche Fragen schematisch nach MS-Empfehlungen beantworten, nachdem Lösungen wie Agent-basiertes SIEM oder "Security Fabric" integriert sind.
Ich betreibe AD-Server mit SIEM-/Log-Collection-Agents von Drittanbietern, auch mit Cloud-Anbindung. Von sonstigen Integrationen habe ich bislang immer abgesehen, aber meist auch aus anderen Gründen (viele Voraussetzungen sind durch mobiles Arbeiten nicht mehr gegeben, etwa dass Nutzer AD-authentifiziert sind, bevor die integrierte Netzwerk-Security die Identität benötigt). In anderen Umgebungen habe ich auch SIEM-Agents, aber keine externe Kommunikation; das sind dann schlicht andere Sicherheitsanforderungen und begleitende Konzepte.
Grüße
Richard
hat jemand von euch einen Link oder Information darüber, warum man auf einem Tier 0 AD Server keine 3rd Party Software installieren sollte?
Sicherheit und Verfügbarkeit sind Gründe, es nicht zu tun. Dass es manchmal nicht anders geht bzw. der Nutzen die Risiken überwiegt, sind Gründe, es zu tun.
Was nicht geht, gerade für einen Dienstleister: Solche Fragen schematisch nach MS-Empfehlungen beantworten, nachdem Lösungen wie Agent-basiertes SIEM oder "Security Fabric" integriert sind.
Ich betreibe AD-Server mit SIEM-/Log-Collection-Agents von Drittanbietern, auch mit Cloud-Anbindung. Von sonstigen Integrationen habe ich bislang immer abgesehen, aber meist auch aus anderen Gründen (viele Voraussetzungen sind durch mobiles Arbeiten nicht mehr gegeben, etwa dass Nutzer AD-authentifiziert sind, bevor die integrierte Netzwerk-Security die Identität benötigt). In anderen Umgebungen habe ich auch SIEM-Agents, aber keine externe Kommunikation; das sind dann schlicht andere Sicherheitsanforderungen und begleitende Konzepte.
Grüße
Richard
Hallo,
wir verwenden filebeat zum Auslesen der DNS logs nach elasticsearch. Früher war filebeat auf dem Server installiert. Jetzt haben wir das log-Verzeichnis freigegeben und filebeat holt sich einem anderen Server aus die Logs aus der Freigabe.
Wenn es irgendwie geht, würde ich vermeiden, Fremdsoftware auf dem Tier 0 zu installieren. Manchmal geht es aber nicht.
Grüße
lcer
wir verwenden filebeat zum Auslesen der DNS logs nach elasticsearch. Früher war filebeat auf dem Server installiert. Jetzt haben wir das log-Verzeichnis freigegeben und filebeat holt sich einem anderen Server aus die Logs aus der Freigabe.
Wenn es irgendwie geht, würde ich vermeiden, Fremdsoftware auf dem Tier 0 zu installieren. Manchmal geht es aber nicht.
Grüße
lcer
//Das hängt mit den Sicherheitstechnologien von Microsoft zusammen, weshalb nicht empfohlen wird, 3rd-Party-Software zu installieren. Zu erwähnen sei da bspw. WDAC und HVCI, siehe auch
https://docs.microsoft.com/de-de/windows/security/threat-protection/devi ...
Grüße
Daemmerung
https://docs.microsoft.com/de-de/windows/security/threat-protection/devi ...
Grüße
Daemmerung
Moin,
was sagen den eure IT Sicherheitsrichtlinien dazu? Was sagt euer Tiering Konzept dazu? Wer trägt am Ende des Tages die Veranwortung?
Grundsätzlich sollen auf einem Server der Zone Tier 0 ausschließlich Rollen und Funktionen installiert sein, welche für den Zweck erforderlich sind. Microsoft Produkte/tools lassen sich meistens nicht vermeiden. 3rd Party Software sollte allerdings nicht in betracht gezogen werden. Bestes aktuelles Beispiel, was passieren kann: Microsoft signierte Network-Filtertreiber, der als Rootkit aus China fungiert. Wie groß der Schaden im Netzwerk werden kann, kann sich jeder selbst ausmalen.
Gruß,
Dani
was sagen den eure IT Sicherheitsrichtlinien dazu? Was sagt euer Tiering Konzept dazu? Wer trägt am Ende des Tages die Veranwortung?
Grundsätzlich sollen auf einem Server der Zone Tier 0 ausschließlich Rollen und Funktionen installiert sein, welche für den Zweck erforderlich sind. Microsoft Produkte/tools lassen sich meistens nicht vermeiden. 3rd Party Software sollte allerdings nicht in betracht gezogen werden. Bestes aktuelles Beispiel, was passieren kann: Microsoft signierte Network-Filtertreiber, der als Rootkit aus China fungiert. Wie groß der Schaden im Netzwerk werden kann, kann sich jeder selbst ausmalen.
ie 3rd Party Software steuert einen Dienst, welcher das DNS Log ausliest, die IP-Adressen und DNS-Hostnames samt Usernamen an einen DNS-Resolver sendet um zu sehen, welcher Client den Block ausgelöst hat.
Lässt sich das nicht anders lösen? Meist ist es ein aufweniger Weg, aber das ist nun mal so wenn Sicherheit groß geschrieben wird.Eine andere 3rd Party Software wäre, ein Security Agent, welcher eine Cloudverbindung (nur outbound) durchführt.
Hm. Leider beschreibst du nicht, was der Agent tun soll/wird. Gibts eine Bewertung der Anwendung eurerseits? Handelt es sich um einen Read-Only Access? Welche Daten werden abgegriffen? Erfolgt ausschließlich die Kommunikation von DC in die Cloud oder ist es möglich, dass eine bidirektionale Kommunikation nach Aufbau der Verbindung durchgeführt werden kann? Unter dem welchen Benutzer/Account läuft der Service?Gruß,
Dani
Danke für eure Hilfe!
Ich konnte mit dem Hersteller alle Fragen abklären. Für uns ist der Kommunikationsprozess in Ordnung.
MFG
Robert
Ich konnte mit dem Hersteller alle Fragen abklären. Für uns ist der Kommunikationsprozess in Ordnung.
MFG
Robert
