dcfan01
Goto Top

Zweifaktor-Auth für Domain-Adminkonten?

Hallo,

ich würde gerne Domain-Adminkonten besser schützen.
Konkret geht es um Windows Server 2016-2022.

Welche Lösungen für eine Zweifaktor-Auth könnt ihr empfehlen ?
Und macht dies so überhaupt Sinn?
Es geht hier ausschließlich um eher kleine Umgebungen, daher sollte der Preis leider auch eine Rolle spielen .


Ebenso stelle ich mir die Frage, wie ihr das handhabt , wenn externe Software-Systemhäuser auf einzelne Bereiche des Netzwerkes/ einzelne Server Zugriff benötigen, lasst ihr diese dann über ein Lokalen Adminkonto des jeweiligen Servers arbeiten ?
Bisher habe ich sogar nicht selten gesehen , dass man Externen den Zugang auf ein Domänen-Adminkonto gegeben hat .. für mich ehrlich gesagt ein absoluter Alptraum, daher suche ich nach besseren Lösungen.


Danke wie immer fur euere Meinung
Grüße DC

Content-ID: 7173887274

Url: https://administrator.de/forum/zweifaktor-auth-fuer-domain-adminkonten-7173887274.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

DerWoWusste
DerWoWusste 16.05.2023 aktualisiert um 11:16:41 Uhr
Goto Top
Hi.

Lass uns bei einer Frage zur Zeit bleiben und den Zugriff Externer in einer neuen Frage behandeln.

Um Domänenadmins zu schützen würde ich:

  • Deren Konten in die Domänengruppe "Protected Users" einfügen
  • SmartCard-Anmeldung erforderlich machen
  • Denen eine echte oder (je nach Anwendungsfall) virtuelle SmartCard schreiben
  • Deren Anmelderecht auf Domänencontroller beschränken

Wenn Du dazu Tipps brauchst, sag Bescheid.
Es wäre nötig, dass Du angibst, wie du mit denen arbeitest. Arbeitest Du per RDP von einer administrativen Workstation ("PAW") aus am DC oder nur mit lokaler Anmeldung am DC?
bauinformatiker
bauinformatiker 16.05.2023 um 11:27:54 Uhr
Goto Top
Zitat von @DerWoWusste:
[...]
Lass uns bei einer Frage zur Zeit bleiben und den Zugriff Externer in einer neuen Frage behandeln.

Gute Idee face-wink

Um Domänenadmins zu schützen würde ich:


Welche Nachteile oder Einschränkungen entstehen dadurch. Ich lese nur "kein Caching"... aber keine konreten "pitfalls" auf der Seite.

* SmartCard-Anmeldung erforderlich machen

Funktioniert das auch für RDP Sessions?

* Denen eine echte oder (je nach Anwendungsfall) virtuelle SmartCard schreiben
  • Deren Anmelderecht auf Domänencontroller beschränken

Wie handbast du dann lokale Adminrechte?


Es gibt ja zig Admin-Gruppen, wäre es auch praktikabel, nicht immer gleich den Domänen-Admin zu verwenden?
DerWoWusste
DerWoWusste 16.05.2023 um 11:35:45 Uhr
Goto Top
Ist das jetzt ein Frage-Hijacking durch dich? Soll der Autor nicht als Erster antworten?

Protected Users schaltet NTLM ab, es wird rein Kerberos verwendet und die Tickets leben nur 4 Stunden. Auch ist ein Kontakt zum DC immer erforderlich, da nichts lokal gecacht wird. Ich habe damit null Probleme.

SmartCards funktionieren auch per RDP, werden also durchgereicht, sogar über mehrere Hops.

Lokale Adminrechte siehe Tipp zur Nutzung von Zweitaccounts unter Windows und Sicherer Umgang mit Supportkonten

wäre es auch praktikabel, nicht immer gleich den Domänen-Admin zu verwenden?
Man nimmt den Domänenadmin für nichts anderes als Anmeldungen am DC. Das ist wichtig und man sollte keine Ausnahmen machen.
clSchak
clSchak 16.05.2023 um 12:18:00 Uhr
Goto Top
Hi

bzgl. "Protected User", dafür muss auf jeden Fall DNS sauber und Problemlos laufen, ebenso müssen SPNs korrekt gesetzt sein, wir sind am Anfang damit "hart" auf die Nase gefallen und so wurden einige "Altlasten" und Fehler aufgedeckt die wir vorher so gar nicht auf den Schirm hatten, aber mittlerweile funktioniert das alles Anstandslos. Wenn du Linux-System hast die gegen LDAP Authentifizieren, die musst, wenn noch nicht geschehen, du dann auf LDAPs umstellen (d.h. dann auch, dass du die Domänen-Zertifikate passend für die Linux-Systeme ausrollen musst). Und glaub blos nicht, nur weil man eine ultrateure Enteprise Software / Lösung hat, dass die direkt mit Kerberos funktioniert, je teurer die Software umso wahrscheinlicher wird es, dass die nur NTLM können oder die Einrichtung für Kerberos sehr aufwendig wird.

Auch der die Vorgehensweise mit SmartCard sind praktikabel einsetzbar, wir haben dafür FIDO Sticks im Einsatz und das läuft ohne Probleme, wir haben Modelle die "2 Slots" für Zertifikate haben, womit dann z.B. eine virtuelle SmartCard nicht mehr notwendig ist.

Wir arbeiten aktuell daran, dass sich der 2nd & 3rd Level Support nicht mehr an einem Client anmelden kann und der 1st Level Support nicht mehr an Servern, aber aufgrund der schmalen Personaldecke ist das nicht immer ganz einfach face-smile.
139689
139689 16.05.2023 um 16:51:10 Uhr
Goto Top
Für bis zu 10 User in diversen Szenarien kostenlos:

https://duo.com/editions-and-pricing/duo-free

(gehört zu Cisco)
Dani
Dani 16.05.2023 aktualisiert um 19:43:47 Uhr
Goto Top
Moin,
Ebenso stelle ich mir die Frage, wie ihr das handhabt , wenn externe Software-Systemhäuser auf einzelne Bereiche des Netzwerkes/ einzelne Server Zugriff benötigen, lasst ihr diese dann über ein Lokalen Adminkonto des jeweiligen Servers arbeiten ?
Wir machen das nahe zu 1:1 wie Kollege @clSchak es beschrieben hat. Wir setzen zusätzlich noch ein PAM ein. Damit lassen sich solche Szenarien sehr granular konfigurieren, überwachen und auch ggf. sperren kann. Jeder hat von uns dedizierte Benutzerkonten für die verschiedenen Bereiche. Da werden keine Benutzer geteilt. Was durch Hardware 2FA auch nicht ganz einfach wäre. Zudem rechtlich/organisatorisch mit Policies abgedeckt.

Es geht hier ausschließlich um eher kleine Umgebungen, daher sollte der Preis leider auch eine Rolle spielen .
Wie ist bei dir "klein" definiert? Bei mir fängt es bei 1000 Usern an. Alles darunter ist eine Spielwiese. face-wink


Gruß,
Dani
DCFan01
DCFan01 22.05.2023 um 16:21:29 Uhr
Goto Top
Zitat von @139689:

Für bis zu 10 User in diversen Szenarien kostenlos:

https://duo.com/editions-and-pricing/duo-free

(gehört zu Cisco)


Kann ich damit auch nur die wenigen Domain_Adminkonten bzw Support-Konten abdecken oder wie bezieht sich das auf 10 User? 10 User in einer Domäne oder 10 User die dies MFA auch AKTIV nutzen?

Danke für deiN Feedback


Grüße
DC
DCFan01
DCFan01 22.05.2023 um 16:25:33 Uhr
Goto Top
Zitat von @DerWoWusste:

Hi.

Lass uns bei einer Frage zur Zeit bleiben und den Zugriff Externer in einer neuen Frage behandeln.

Um Domänenadmins zu schützen würde ich:

  • Deren Konten in die Domänengruppe "Protected Users" einfügen
  • SmartCard-Anmeldung erforderlich machen
  • Denen eine echte oder (je nach Anwendungsfall) virtuelle SmartCard schreiben
  • Deren Anmelderecht auf Domänencontroller beschränken

Wenn Du dazu Tipps brauchst, sag Bescheid.
Es wäre nötig, dass Du angibst, wie du mit denen arbeitest. Arbeitest Du per RDP von einer administrativen Workstation ("PAW") aus am DC oder nur mit lokaler Anmeldung am DC?

DANKE für deine ausführliche Antwort.

Generell ist gegeben:

Windows Server 2022 DC komplett neu aufgesetzt....in einigen Monaten werden noch etwas 50 Clients dazu kommen.

Von extern gibt es immer wieder Software-Häuser die zugreifen "mussen"....und ich suche wie gesagt nach einem guten Konzept.

Bisher loggen sich die Befugten über eine Art PAW-Client( die nicht in der Domäne ist und keinerlei Berechtigungen hat außer RDP) auf den DC ein.


Ich selber logge mich per VPN+ RDP natürlich auch hin und wieder direkt auf die Maschine aus dem externen Büro.

Das was ddu beschreibst, ist das in der besagten Umgebgung schwierig umzusetzen?

Gibts da irgwendwo ein Best Practise was ( virtuelle) Smartcards angeht usw?

Danke und Grüße
DC
DerWoWusste
DerWoWusste 23.05.2023 aktualisiert um 09:28:57 Uhr
Goto Top
Hi.

Von extern gibt es immer wieder Software-Häuser die zugreifen "mussen"....und ich suche wie gesagt nach einem guten Konzept.
Konzept für Support durch Externe oder bleiben wir nun beim Thema "Domänenadmins schützen"? Weil mit Domänenadmins sollten externe Supporter nichts zu tun haben, es sei denn, Du lässt explizit deine Domänencontroller durch Externe reparieren.

Bisher loggen sich die Befugten über eine Art PAW-Client( die nicht in der Domäne ist und keinerlei Berechtigungen hat außer RDP) auf den DC ein.
Wer sind die Befugten? Externe oder Du und andere Admins? Warum ist der PAW nicht Teil der Domäne, was versucht Ihr dadurch zu verhindern?

Das was ddu beschreibst, ist das in der besagten Umgebgung schwierig umzusetzen?
Doch, das kannst Du nutzen. Für weitere Hinweise beantworte zunächst diese gestellten Fragen.
DerWoWusste
DerWoWusste 02.06.2023 um 11:27:15 Uhr
Goto Top
Na, Interesse verloren? Bitte bleine am Ball, sonst versanden solche Fragen.