Wie 2-FA für Admin Accounts in onPrem Windows Domänen?

Hallo, ich wollt einfach mal in die Runde fragen - wie sichert ihr eure Administrator Accounts ab in nicht-Cloud Windows Server Umgebungen.
Speziell das Thema 2 Faktor Authentisierung würde mich da mal interessieren, mit welchen mitteln man das absichern kann und wie praktikabel das dann ist.
Wenn man jetzt z.B. einem Mitarbeiter helfen muss auf seinem Client PC, und man schaltet sich per Teamviewer auf den ClientPC - wie kann man da ein Programm nachinstallieren oder die Registry bearbeiten mit administrativen rechten? Wenn da die UAC hoch ploppt und man einen Administrativen Account angibt - wie soll dann da eine 2 FA funktionieren wenn man selber nicht vorot ist um mit einer SmartCard oder einem USB Stick zu arbeiten?

Content-Key: 1493922016

Url: https://administrator.de/contentid/1493922016

Ausgedruckt am: 24.01.2022 um 09:01 Uhr

Mitglied: Drohnald
Drohnald 11.11.2021 aktualisiert um 10:35:29 Uhr
Goto Top
Hi,
die internen Admin-Accounts sind bei uns nicht mit 2FA gesichert.

Für dein Beispiel würde ich persönlich aber auch immer den lokalen Admin des jeweiligen Clients benutzen, der mit Hilfe von LAPS (www.msxfaq.de/windows/endpointsecurity/laps.htm) ein individuelles PW hat.

Grund:
- Unabhängig von Verbindung zur Domain
- Kann schlimmstenfalls diesen PC versauen (wenn böse Tiere dort wohnen)
- Selbst wenn ein Key-Logger drauf ist, hat der Böse Mensch erstmal nur das lokale Admin-PW, aber nicht gleich einen Domainaccount der als Admin vermutlich auch noch sehr weitreichende Rechte hat.
Mitglied: Th0mKa
Th0mKa 11.11.2021 um 10:55:04 Uhr
Goto Top
Zitat von @Drohnald:
Selbst wenn ein Key-Logger drauf ist, hat der Böse Mensch erstmal nur das lokale Admin-PW, aber nicht gleich einen Domainaccount der als Admin vermutlich auch noch sehr weitreichende Rechte hat.

Idealerweise hat man für administrative Tätigkeiten auch einen dedizierten Client Admin Account den man dafür nutzt, einen Account mit Domain Admin Berechtigungen braucht man im Alltag fast nie.
Mitglied: Drohnald
Drohnald 11.11.2021 um 10:58:15 Uhr
Goto Top
Idealerweise hat man für administrative Tätigkeiten auch einen dedizierten Client Admin Account den man dafür nutzt, einen Account mit Domain Admin Berechtigungen braucht man im Alltag fast nie.
Völlig richtig. War missverständlich formuliert.
Was ich meinte: Der Admin-Account wäre ein Account der Domain (was der lokale Admin ja nicht ist); Der kann also schon mal jede read-only Abfrage an den DC stellen. Gleichzeitig wäre aber selbst der dedizierte Client Admin Account zumindest auf allen Clients Admin. Könnte also jeden einzelnen Client infizieren, der erreichbar ist.
Mitglied: A.Posch
A.Posch 11.11.2021 um 11:06:01 Uhr
Goto Top
Das mit dem lokalen adminaccount pro PC ist soweit klar - aber wenn man eben diesen genauso mit absichern möchte über 2FA? Da schauts schlecht aus mit Remote support denke ich, oder?

und mit Domänen-Admin Accounts ja eigentlich das gleiche - wie administriert man am besten die Server? Da will man doch auch per RDP drauf um die zu konfigurieren - aber wie macht man das sicher?
Mitglied: DerWoWusste
DerWoWusste 11.11.2021 aktualisiert um 11:20:53 Uhr
Goto Top
Hi.

Smartcards kannst Du per RDP durchleiten.
Um jedoch einem Kollegen in dessen Sitzung zu helfen, muss man deren Credentials ja in dessen Sitzung eingeben - je nach Smartcard-reader geht das sicher (an deinem Reader) oder nicht so sicher (über PIN-Eingabe am Remoterechner).
Mitglied: Coreknabe
Coreknabe 11.11.2021 um 11:19:36 Uhr
Goto Top
Moin,

wir wollten uns schon seit längerem einmal Google Duo ansehen, aber der Tag hat immer so wenig Stunden :-) face-smile
https://duo.com/docs/rdp

Die Adminfrage ist so gelöst:
https://duo.com/docs/administration-admins

@thomka
Idealerweise hat man für administrative Tätigkeiten auch einen dedizierten Client Admin Account den man dafür nutzt, einen Account mit Domain Admin Berechtigungen braucht man im Alltag fast nie.

Machen wir für unsere Lehrsaal-Rechner so und wechseln regelmäßig das Passwort. Ansonsten ist das auch eine schöne Sicherheitslücke, meist kümmert sich um den Account niemand mehr. Für User-Rechner wäre die LAPS-Lösung schlauer.

Gruß
Mitglied: lcer00
lcer00 11.11.2021 um 11:46:15 Uhr
Goto Top
Hallo,

wir schleichen da auch schon eine weile drum herum. Das Problem ist, dass man die Admin-Account entweder gar nicht braucht - oder im Problemfall (vielleicht abgesehen von der Softwareinstallation). Wenn dann der Problemfall eintritt, muss der der MFA Login weiter funktionieren und nicht darf gestört sein.

Bei uns sind die Clients und Member-Server alle mit LAPS ausgestattet. Das erfordert einen funktionierenden Domänencontroller auf den ich im Notfall auch zugreifen kann. Wenn ich den Zugang zum DC jetzt auch noch weiter verrammele - wie läuft der Login dann im Notfallszenario ab?

Zweiter Punkt. Wenn Admin-Rechte erforderlich sind, kann man die auch Zeitweise vergeben - was dann im Grunde einer MFA ähnlich ist. Ein Admin erteilt dem anderen die erforderlichen Rechte - auf Zeit. Hier die Azure-Variante https://docs.microsoft.com/de-de/azure/active-directory/privileged-ident ...

Grüße

lcer
Mitglied: Th0mKa
Th0mKa 11.11.2021 um 13:11:20 Uhr
Goto Top
Zitat von @Coreknabe:
Machen wir für unsere Lehrsaal-Rechner so und wechseln regelmäßig das Passwort. Ansonsten ist das auch eine schöne Sicherheitslücke, meist kümmert sich um den Account niemand mehr. Für User-Rechner wäre die LAPS-Lösung schlauer.

Warum kümmert sich um den Account niemand mehr? Das soll ja keine einzelner Account sein den alle nutzen, sondern ein persönlicher Account des Admins.

/Thomas
Mitglied: Coreknabe
Coreknabe 11.11.2021 aktualisiert um 15:55:58 Uhr
Goto Top
@lcer
Bei uns sind die Clients und Member-Server alle mit LAPS ausgestattet. Das erfordert einen funktionierenden Domänencontroller auf den ich im Notfall auch zugreifen kann. Wenn ich den Zugang zum DC jetzt auch noch weiter verrammele - wie läuft der Login dann im Notfallszenario ab?

Das haben wir mit einem kleinen Powershellskript gelöst. Jede Nacht werden die Passwörter in eine Datei auf dem DC geschrieben, verschlüsselt mit einem Archiv-Passwort und auf unseren Fileserver weggespeichert. Die Datei auf dem DC wird danach gelöscht. So haben wir die aktuellen Passwörter immer in einer CSV greifbar, für Notfälle.

@Th0mKa
Ich habe mich blöd ausgedrückt, in der Regel hat der dann ein Passwort, was nie wieder angefasst wird. Anderes Problem: Der Azubi / Dienstleister soll auch mal was installieren. Im Zweifel egal, weil das Passwort in einem Monat wieder ein anderes ist bzw. ich ein neues spontan antriggern kann. Und eben die Ein-Passwort-für-alle-Problematik.

Gruß
Mitglied: A.Posch
A.Posch 12.11.2021 um 06:53:56 Uhr
Goto Top
wir nutzen KeePass
Mitglied: DerWoWusste
DerWoWusste 12.11.2021 aktualisiert um 08:59:10 Uhr
Goto Top
Ist das jetzt dein ganzes Feedback?

Ich meine, die RDP-Weiterleitung von Smartcards ist doch genau das, wonach Du suchst. Und das funktioniert, wenn auch das Zielsystem über einen Treiber für die SmartCard verfügt.
Mitglied: A.Posch
A.Posch 12.11.2021 um 13:22:08 Uhr
Goto Top
Ich bin wegen der Smartcard sache noch am Einlesen wie genau das funktioniert :) face-smile
Mitglied: lcer00
lcer00 12.11.2021 um 13:39:39 Uhr
Goto Top
Zitat von @A.Posch:

Ich bin wegen der Smartcard sache noch am Einlesen wie genau das funktioniert :) face-smile

Z.B. so: https://support.yubico.com/hc/en-us/articles/360015654500-Setting-up-Win ...

Praktisch so:
  • RDP öffnen
  • smartcard stecken
  • smartcard als Login auswählen
  • verbinden PIN eingeben und ggf. bei Yubikey 1-2x auf das Knöpfchen drücken

Grüße

lcer
Mitglied: DerWoWusste
DerWoWusste 12.11.2021 um 14:14:11 Uhr
Goto Top
Jou. Nachteil: die Yubikey PIN gelangt in den RAM des Zielsystems.
Bei anderen SmartCards mit externem PIN-Reader passiert das nicht.
Heiß diskutierte Beiträge
question
Ist diese Hardware sinnvoll für privaten Haushalt?stonevVor 1 TagFrageRouter & Routing5 Kommentare

Hallo erstmal :) Meine alte Fritzbox 7490 spinnt seit gestern. Ich gehe von Alterschwäche aus, es wird also Ersatz fällig. Zufrieden war ich mit ihr ...

question
LTO-5 Bänder Löschen geht nichtkreuzbergerVor 12 StundenFrageBackup22 Kommentare

Hallo ihr Helden, ich hab da ein blödes Problem: Ich habe einen Stapel gebrauchte LTO-5-Bänder bekommen, die soweit völlig i. O. sind. Mit welchem Programm ...

question
Teilenummer für weiße Esprimo Mini-PC?LochkartenstanzerVor 16 StundenFrageHardware18 Kommentare

Moin, Ich habe eine eigenwillige Kundin, die einen weißen Fujitsu Esprimo Mini-PC haben will. Und der Kundin ist, wie sollte es anders sein, die Farbe ...

question
Suche einen 27 Zoll 4K Monitor mit einer Energieklasse von A-CWolf6660Vor 1 TagFrageGrafikkarten & Monitore3 Kommentare

Hi, ich bin auf der suche nach zwei 27 oder 28´´4K Monitor. Da ich diesen täglich mehrere Stunden benutzt bin ich auf der Suche nach ...

question
Ein Smartphone für privat und geschäftliche NutzungNebellichtVor 15 StundenFragePeripheriegeräte5 Kommentare

Hallo, für die Firma werden aktuell Smartphone(s) gesucht, die da eine Dual Sim ermöglichen und zusätzlich trennende Sicherheit, d.h. ein Trennen von privaten Daten und ...

question
Suche nach "Beschreibung"ThabeusVor 17 StundenFrageVmware11 Kommentare

Moin, ich stehe gerade auf dem Schlauch bei der Suche nach einer Anleitung. Vielleicht kann mir jemand helfen die "Begrifflichkeit" zu finden. In meinem Netzwerk ...

question
User verschickt mit kryptischer Outlook.com Adresse aus on-prem Exchange 2016LauneBaerVor 15 StundenFrageExchange Server10 Kommentare

Servus in die Runde, ich habe ein für mich nicht nachvollziehbares Problem bei einem User, das heute zum 2ten mal aufgetreten ist. Und zwar verschickte ...

question
Tipp für Firewall mit mehreren DHCP-Instanzen für VLAN gesucht gelöst Holly484Vor 9 StundenFrageFirewall5 Kommentare

Hallo zusammen, hatte in einer Gemeinschaftspraxis bisher tolle Erfahrungen mit Netgear über die letzten vielen Jahre gesammelt. Jetzt ist Netgear aus dem Firewall-Business ausgestiegen. Bisher ...