a.posch
Goto Top

Wie 2-FA für Admin Accounts in onPrem Windows Domänen?

Hallo, ich wollt einfach mal in die Runde fragen - wie sichert ihr eure Administrator Accounts ab in nicht-Cloud Windows Server Umgebungen.
Speziell das Thema 2 Faktor Authentisierung würde mich da mal interessieren, mit welchen mitteln man das absichern kann und wie praktikabel das dann ist.
Wenn man jetzt z.B. einem Mitarbeiter helfen muss auf seinem Client PC, und man schaltet sich per Teamviewer auf den ClientPC - wie kann man da ein Programm nachinstallieren oder die Registry bearbeiten mit administrativen rechten? Wenn da die UAC hoch ploppt und man einen Administrativen Account angibt - wie soll dann da eine 2 FA funktionieren wenn man selber nicht vorot ist um mit einer SmartCard oder einem USB Stick zu arbeiten?

Content-ID: 1493922016

Url: https://administrator.de/contentid/1493922016

Printed on: October 15, 2024 at 15:10 o'clock

Drohnald
Drohnald Nov 11, 2021 updated at 09:35:29 (UTC)
Goto Top
Hi,
die internen Admin-Accounts sind bei uns nicht mit 2FA gesichert.

Für dein Beispiel würde ich persönlich aber auch immer den lokalen Admin des jeweiligen Clients benutzen, der mit Hilfe von LAPS (www.msxfaq.de/windows/endpointsecurity/laps.htm) ein individuelles PW hat.

Grund:
- Unabhängig von Verbindung zur Domain
- Kann schlimmstenfalls diesen PC versauen (wenn böse Tiere dort wohnen)
- Selbst wenn ein Key-Logger drauf ist, hat der Böse Mensch erstmal nur das lokale Admin-PW, aber nicht gleich einen Domainaccount der als Admin vermutlich auch noch sehr weitreichende Rechte hat.
Th0mKa
Th0mKa Nov 11, 2021 at 09:55:04 (UTC)
Goto Top
Zitat von @Drohnald:
Selbst wenn ein Key-Logger drauf ist, hat der Böse Mensch erstmal nur das lokale Admin-PW, aber nicht gleich einen Domainaccount der als Admin vermutlich auch noch sehr weitreichende Rechte hat.

Idealerweise hat man für administrative Tätigkeiten auch einen dedizierten Client Admin Account den man dafür nutzt, einen Account mit Domain Admin Berechtigungen braucht man im Alltag fast nie.
Drohnald
Drohnald Nov 11, 2021 at 09:58:15 (UTC)
Goto Top
Idealerweise hat man für administrative Tätigkeiten auch einen dedizierten Client Admin Account den man dafür nutzt, einen Account mit Domain Admin Berechtigungen braucht man im Alltag fast nie.
Völlig richtig. War missverständlich formuliert.
Was ich meinte: Der Admin-Account wäre ein Account der Domain (was der lokale Admin ja nicht ist); Der kann also schon mal jede read-only Abfrage an den DC stellen. Gleichzeitig wäre aber selbst der dedizierte Client Admin Account zumindest auf allen Clients Admin. Könnte also jeden einzelnen Client infizieren, der erreichbar ist.
A.Posch
A.Posch Nov 11, 2021 at 10:06:01 (UTC)
Goto Top
Das mit dem lokalen adminaccount pro PC ist soweit klar - aber wenn man eben diesen genauso mit absichern möchte über 2FA? Da schauts schlecht aus mit Remote support denke ich, oder?

und mit Domänen-Admin Accounts ja eigentlich das gleiche - wie administriert man am besten die Server? Da will man doch auch per RDP drauf um die zu konfigurieren - aber wie macht man das sicher?
DerWoWusste
DerWoWusste Nov 11, 2021 updated at 10:20:53 (UTC)
Goto Top
Hi.

Smartcards kannst Du per RDP durchleiten.
Um jedoch einem Kollegen in dessen Sitzung zu helfen, muss man deren Credentials ja in dessen Sitzung eingeben - je nach Smartcard-reader geht das sicher (an deinem Reader) oder nicht so sicher (über PIN-Eingabe am Remoterechner).
Coreknabe
Coreknabe Nov 11, 2021 at 10:19:36 (UTC)
Goto Top
Moin,

wir wollten uns schon seit längerem einmal Google Duo ansehen, aber der Tag hat immer so wenig Stunden face-smile
https://duo.com/docs/rdp

Die Adminfrage ist so gelöst:
https://duo.com/docs/administration-admins

@thomka
Idealerweise hat man für administrative Tätigkeiten auch einen dedizierten Client Admin Account den man dafür nutzt, einen Account mit Domain Admin Berechtigungen braucht man im Alltag fast nie.

Machen wir für unsere Lehrsaal-Rechner so und wechseln regelmäßig das Passwort. Ansonsten ist das auch eine schöne Sicherheitslücke, meist kümmert sich um den Account niemand mehr. Für User-Rechner wäre die LAPS-Lösung schlauer.

Gruß
lcer00
lcer00 Nov 11, 2021 at 10:46:15 (UTC)
Goto Top
Hallo,

wir schleichen da auch schon eine weile drum herum. Das Problem ist, dass man die Admin-Account entweder gar nicht braucht - oder im Problemfall (vielleicht abgesehen von der Softwareinstallation). Wenn dann der Problemfall eintritt, muss der der MFA Login weiter funktionieren und nicht darf gestört sein.

Bei uns sind die Clients und Member-Server alle mit LAPS ausgestattet. Das erfordert einen funktionierenden Domänencontroller auf den ich im Notfall auch zugreifen kann. Wenn ich den Zugang zum DC jetzt auch noch weiter verrammele - wie läuft der Login dann im Notfallszenario ab?

Zweiter Punkt. Wenn Admin-Rechte erforderlich sind, kann man die auch Zeitweise vergeben - was dann im Grunde einer MFA ähnlich ist. Ein Admin erteilt dem anderen die erforderlichen Rechte - auf Zeit. Hier die Azure-Variante https://docs.microsoft.com/de-de/azure/active-directory/privileged-ident ...

Grüße

lcer
Th0mKa
Th0mKa Nov 11, 2021 at 12:11:20 (UTC)
Goto Top
Zitat von @Coreknabe:
Machen wir für unsere Lehrsaal-Rechner so und wechseln regelmäßig das Passwort. Ansonsten ist das auch eine schöne Sicherheitslücke, meist kümmert sich um den Account niemand mehr. Für User-Rechner wäre die LAPS-Lösung schlauer.

Warum kümmert sich um den Account niemand mehr? Das soll ja keine einzelner Account sein den alle nutzen, sondern ein persönlicher Account des Admins.

/Thomas
Coreknabe
Coreknabe Nov 11, 2021 updated at 14:55:58 (UTC)
Goto Top
@lcer
Bei uns sind die Clients und Member-Server alle mit LAPS ausgestattet. Das erfordert einen funktionierenden Domänencontroller auf den ich im Notfall auch zugreifen kann. Wenn ich den Zugang zum DC jetzt auch noch weiter verrammele - wie läuft der Login dann im Notfallszenario ab?

Das haben wir mit einem kleinen Powershellskript gelöst. Jede Nacht werden die Passwörter in eine Datei auf dem DC geschrieben, verschlüsselt mit einem Archiv-Passwort und auf unseren Fileserver weggespeichert. Die Datei auf dem DC wird danach gelöscht. So haben wir die aktuellen Passwörter immer in einer CSV greifbar, für Notfälle.

@Th0mKa
Ich habe mich blöd ausgedrückt, in der Regel hat der dann ein Passwort, was nie wieder angefasst wird. Anderes Problem: Der Azubi / Dienstleister soll auch mal was installieren. Im Zweifel egal, weil das Passwort in einem Monat wieder ein anderes ist bzw. ich ein neues spontan antriggern kann. Und eben die Ein-Passwort-für-alle-Problematik.

Gruß
A.Posch
A.Posch Nov 12, 2021 at 05:53:56 (UTC)
Goto Top
wir nutzen KeePass
DerWoWusste
DerWoWusste Nov 12, 2021 updated at 07:59:10 (UTC)
Goto Top
Ist das jetzt dein ganzes Feedback?

Ich meine, die RDP-Weiterleitung von Smartcards ist doch genau das, wonach Du suchst. Und das funktioniert, wenn auch das Zielsystem über einen Treiber für die SmartCard verfügt.
A.Posch
A.Posch Nov 12, 2021 at 12:22:08 (UTC)
Goto Top
Ich bin wegen der Smartcard sache noch am Einlesen wie genau das funktioniert face-smile
lcer00
lcer00 Nov 12, 2021 at 12:39:39 (UTC)
Goto Top
Zitat von @A.Posch:

Ich bin wegen der Smartcard sache noch am Einlesen wie genau das funktioniert face-smile

Z.B. so: https://support.yubico.com/hc/en-us/articles/360015654500-Setting-up-Win ...

Praktisch so:
  • RDP öffnen
  • smartcard stecken
  • smartcard als Login auswählen
  • verbinden PIN eingeben und ggf. bei Yubikey 1-2x auf das Knöpfchen drücken

Grüße

lcer
DerWoWusste
DerWoWusste Nov 12, 2021 at 13:14:11 (UTC)
Goto Top
Jou. Nachteil: die Yubikey PIN gelangt in den RAM des Zielsystems.
Bei anderen SmartCards mit externem PIN-Reader passiert das nicht.