Zweifaktor-Auth für Domain-Adminkonten?
Hallo,
ich würde gerne Domain-Adminkonten besser schützen.
Konkret geht es um Windows Server 2016-2022.
Welche Lösungen für eine Zweifaktor-Auth könnt ihr empfehlen ?
Und macht dies so überhaupt Sinn?
Es geht hier ausschließlich um eher kleine Umgebungen, daher sollte der Preis leider auch eine Rolle spielen .
Ebenso stelle ich mir die Frage, wie ihr das handhabt , wenn externe Software-Systemhäuser auf einzelne Bereiche des Netzwerkes/ einzelne Server Zugriff benötigen, lasst ihr diese dann über ein Lokalen Adminkonto des jeweiligen Servers arbeiten ?
Bisher habe ich sogar nicht selten gesehen , dass man Externen den Zugang auf ein Domänen-Adminkonto gegeben hat .. für mich ehrlich gesagt ein absoluter Alptraum, daher suche ich nach besseren Lösungen.
Danke wie immer fur euere Meinung
Grüße DC
ich würde gerne Domain-Adminkonten besser schützen.
Konkret geht es um Windows Server 2016-2022.
Welche Lösungen für eine Zweifaktor-Auth könnt ihr empfehlen ?
Und macht dies so überhaupt Sinn?
Es geht hier ausschließlich um eher kleine Umgebungen, daher sollte der Preis leider auch eine Rolle spielen .
Ebenso stelle ich mir die Frage, wie ihr das handhabt , wenn externe Software-Systemhäuser auf einzelne Bereiche des Netzwerkes/ einzelne Server Zugriff benötigen, lasst ihr diese dann über ein Lokalen Adminkonto des jeweiligen Servers arbeiten ?
Bisher habe ich sogar nicht selten gesehen , dass man Externen den Zugang auf ein Domänen-Adminkonto gegeben hat .. für mich ehrlich gesagt ein absoluter Alptraum, daher suche ich nach besseren Lösungen.
Danke wie immer fur euere Meinung
Grüße DC
Please also mark the comments that contributed to the solution of the article
Content-ID: 7173887274
Url: https://administrator.de/contentid/7173887274
Printed on: December 3, 2024 at 11:12 o'clock
10 Comments
Latest comment
Hi.
Lass uns bei einer Frage zur Zeit bleiben und den Zugriff Externer in einer neuen Frage behandeln.
Um Domänenadmins zu schützen würde ich:
Wenn Du dazu Tipps brauchst, sag Bescheid.
Es wäre nötig, dass Du angibst, wie du mit denen arbeitest. Arbeitest Du per RDP von einer administrativen Workstation ("PAW") aus am DC oder nur mit lokaler Anmeldung am DC?
Lass uns bei einer Frage zur Zeit bleiben und den Zugriff Externer in einer neuen Frage behandeln.
Um Domänenadmins zu schützen würde ich:
- Deren Konten in die Domänengruppe "Protected Users" einfügen
- SmartCard-Anmeldung erforderlich machen
- Denen eine echte oder (je nach Anwendungsfall) virtuelle SmartCard schreiben
- Deren Anmelderecht auf Domänencontroller beschränken
Wenn Du dazu Tipps brauchst, sag Bescheid.
Es wäre nötig, dass Du angibst, wie du mit denen arbeitest. Arbeitest Du per RDP von einer administrativen Workstation ("PAW") aus am DC oder nur mit lokaler Anmeldung am DC?
Zitat von @DerWoWusste:
[...]
Lass uns bei einer Frage zur Zeit bleiben und den Zugriff Externer in einer neuen Frage behandeln.
[...]
Lass uns bei einer Frage zur Zeit bleiben und den Zugriff Externer in einer neuen Frage behandeln.
Gute Idee
Welche Nachteile oder Einschränkungen entstehen dadurch. Ich lese nur "kein Caching"... aber keine konreten "pitfalls" auf der Seite.
* SmartCard-Anmeldung erforderlich machen
Funktioniert das auch für RDP Sessions?
* Denen eine echte oder (je nach Anwendungsfall) virtuelle SmartCard schreiben
- Deren Anmelderecht auf Domänencontroller beschränken
Wie handbast du dann lokale Adminrechte?
Es gibt ja zig Admin-Gruppen, wäre es auch praktikabel, nicht immer gleich den Domänen-Admin zu verwenden?
Ist das jetzt ein Frage-Hijacking durch dich? Soll der Autor nicht als Erster antworten?
Protected Users schaltet NTLM ab, es wird rein Kerberos verwendet und die Tickets leben nur 4 Stunden. Auch ist ein Kontakt zum DC immer erforderlich, da nichts lokal gecacht wird. Ich habe damit null Probleme.
SmartCards funktionieren auch per RDP, werden also durchgereicht, sogar über mehrere Hops.
Lokale Adminrechte siehe Tipp zur Nutzung von Zweitaccounts unter Windows und Sicherer Umgang mit Supportkonten
Protected Users schaltet NTLM ab, es wird rein Kerberos verwendet und die Tickets leben nur 4 Stunden. Auch ist ein Kontakt zum DC immer erforderlich, da nichts lokal gecacht wird. Ich habe damit null Probleme.
SmartCards funktionieren auch per RDP, werden also durchgereicht, sogar über mehrere Hops.
Lokale Adminrechte siehe Tipp zur Nutzung von Zweitaccounts unter Windows und Sicherer Umgang mit Supportkonten
wäre es auch praktikabel, nicht immer gleich den Domänen-Admin zu verwenden?
Man nimmt den Domänenadmin für nichts anderes als Anmeldungen am DC. Das ist wichtig und man sollte keine Ausnahmen machen.
Hi
bzgl. "Protected User", dafür muss auf jeden Fall DNS sauber und Problemlos laufen, ebenso müssen SPNs korrekt gesetzt sein, wir sind am Anfang damit "hart" auf die Nase gefallen und so wurden einige "Altlasten" und Fehler aufgedeckt die wir vorher so gar nicht auf den Schirm hatten, aber mittlerweile funktioniert das alles Anstandslos. Wenn du Linux-System hast die gegen LDAP Authentifizieren, die musst, wenn noch nicht geschehen, du dann auf LDAPs umstellen (d.h. dann auch, dass du die Domänen-Zertifikate passend für die Linux-Systeme ausrollen musst). Und glaub blos nicht, nur weil man eine ultrateure Enteprise Software / Lösung hat, dass die direkt mit Kerberos funktioniert, je teurer die Software umso wahrscheinlicher wird es, dass die nur NTLM können oder die Einrichtung für Kerberos sehr aufwendig wird.
Auch der die Vorgehensweise mit SmartCard sind praktikabel einsetzbar, wir haben dafür FIDO Sticks im Einsatz und das läuft ohne Probleme, wir haben Modelle die "2 Slots" für Zertifikate haben, womit dann z.B. eine virtuelle SmartCard nicht mehr notwendig ist.
Wir arbeiten aktuell daran, dass sich der 2nd & 3rd Level Support nicht mehr an einem Client anmelden kann und der 1st Level Support nicht mehr an Servern, aber aufgrund der schmalen Personaldecke ist das nicht immer ganz einfach .
bzgl. "Protected User", dafür muss auf jeden Fall DNS sauber und Problemlos laufen, ebenso müssen SPNs korrekt gesetzt sein, wir sind am Anfang damit "hart" auf die Nase gefallen und so wurden einige "Altlasten" und Fehler aufgedeckt die wir vorher so gar nicht auf den Schirm hatten, aber mittlerweile funktioniert das alles Anstandslos. Wenn du Linux-System hast die gegen LDAP Authentifizieren, die musst, wenn noch nicht geschehen, du dann auf LDAPs umstellen (d.h. dann auch, dass du die Domänen-Zertifikate passend für die Linux-Systeme ausrollen musst). Und glaub blos nicht, nur weil man eine ultrateure Enteprise Software / Lösung hat, dass die direkt mit Kerberos funktioniert, je teurer die Software umso wahrscheinlicher wird es, dass die nur NTLM können oder die Einrichtung für Kerberos sehr aufwendig wird.
Auch der die Vorgehensweise mit SmartCard sind praktikabel einsetzbar, wir haben dafür FIDO Sticks im Einsatz und das läuft ohne Probleme, wir haben Modelle die "2 Slots" für Zertifikate haben, womit dann z.B. eine virtuelle SmartCard nicht mehr notwendig ist.
Wir arbeiten aktuell daran, dass sich der 2nd & 3rd Level Support nicht mehr an einem Client anmelden kann und der 1st Level Support nicht mehr an Servern, aber aufgrund der schmalen Personaldecke ist das nicht immer ganz einfach .
Für bis zu 10 User in diversen Szenarien kostenlos:
https://duo.com/editions-and-pricing/duo-free
(gehört zu Cisco)
https://duo.com/editions-and-pricing/duo-free
(gehört zu Cisco)
Moin,
Gruß,
Dani
Ebenso stelle ich mir die Frage, wie ihr das handhabt , wenn externe Software-Systemhäuser auf einzelne Bereiche des Netzwerkes/ einzelne Server Zugriff benötigen, lasst ihr diese dann über ein Lokalen Adminkonto des jeweiligen Servers arbeiten ?
Wir machen das nahe zu 1:1 wie Kollege @clSchak es beschrieben hat. Wir setzen zusätzlich noch ein PAM ein. Damit lassen sich solche Szenarien sehr granular konfigurieren, überwachen und auch ggf. sperren kann. Jeder hat von uns dedizierte Benutzerkonten für die verschiedenen Bereiche. Da werden keine Benutzer geteilt. Was durch Hardware 2FA auch nicht ganz einfach wäre. Zudem rechtlich/organisatorisch mit Policies abgedeckt.Es geht hier ausschließlich um eher kleine Umgebungen, daher sollte der Preis leider auch eine Rolle spielen .
Wie ist bei dir "klein" definiert? Bei mir fängt es bei 1000 Usern an. Alles darunter ist eine Spielwiese. Gruß,
Dani
Hi.
Von extern gibt es immer wieder Software-Häuser die zugreifen "mussen"....und ich suche wie gesagt nach einem guten Konzept.
Konzept für Support durch Externe oder bleiben wir nun beim Thema "Domänenadmins schützen"? Weil mit Domänenadmins sollten externe Supporter nichts zu tun haben, es sei denn, Du lässt explizit deine Domänencontroller durch Externe reparieren.Bisher loggen sich die Befugten über eine Art PAW-Client( die nicht in der Domäne ist und keinerlei Berechtigungen hat außer RDP) auf den DC ein.
Wer sind die Befugten? Externe oder Du und andere Admins? Warum ist der PAW nicht Teil der Domäne, was versucht Ihr dadurch zu verhindern?Das was ddu beschreibst, ist das in der besagten Umgebgung schwierig umzusetzen?
Doch, das kannst Du nutzen. Für weitere Hinweise beantworte zunächst diese gestellten Fragen.