matze81
Goto Top

DC hinter FW

Hi,
die Bedrohung durch Ransomware und co wird ja immer größer und realer. Aktuell denke ich über Optionen nach wie wir die Umgebung deutlich sicherer machen könnten.

Dazu gehören z.B. Maßnahmen wie
- Hypervisor, NetApp Management etc. ist hinter einer Firewall und nur noch über einen Jumphost erreichbar der selbst nur aus einem Subnetz erreichbar ist
- wir denken über diverse Szenarien nach


Nun haben wir eh schon eineige RO-DCs im Einsatz. Wäre es theoretisch denkbar die R/W DCs hinter eine Firewall zu setzen und lediglich ein Zugriff von den RO-DCs auf die R/W DCs zu ermöglichen? Vermutlich nicht da die Clients theoretisch auf den DC schreiben können müssen oder?

Content-ID: 83430902212

Url: https://administrator.de/imho/dc-hinter-fw-83430902212.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

MysticFoxDE
MysticFoxDE 27.08.2023 um 07:03:09 Uhr
Goto Top
Moin @matze81,

die Bedrohung durch Ransomware und co wird ja immer größer und realer. Aktuell denke ich über Optionen nach wie wir die Umgebung deutlich sicherer machen könnten.

ja, leider. 😭

Dazu gehören z.B. Maßnahmen wie
- Hypervisor, NetApp Management etc. ist hinter einer Firewall und nur noch über einen Jumphost erreichbar der selbst nur aus einem Subnetz erreichbar ist
- wir denken über diverse Szenarien nach

Sehr gut und wenn Hypervisor = Hyper-V, dann bitte auch gleich mit einer separaten Managementdomäne.

Nun haben wir eh schon eineige RO-DCs im Einsatz. Wäre es theoretisch denkbar die R/W DCs hinter eine Firewall zu setzen und lediglich ein Zugriff von den RO-DCs auf die R/W DCs zu ermöglichen? Vermutlich nicht da die Clients theoretisch auf den DC schreiben können müssen oder?

Wir setzen wo es geht die DC's der Produktivdomänen mittlerweile in einem eigenen Subnetz auf und filtern sämtliche Zugriffe durch ein SGW.

Gruss Alex
ukulele-7
ukulele-7 29.08.2023 um 08:18:49 Uhr
Goto Top
Ich hab meine neuen DCs im Servernetz stehen, ist halt eine Port-Orgie an der Firewall aber machbar.
Dani
Dani 31.08.2023 um 19:30:01 Uhr
Goto Top
Moin,
bloß mit einer Microsegmentierung und Gateway Zonen bzw. Firewall ist es nicht getan. Das schützt eure DCs nicht vor NTLM Relaying & Co. Da hilft eine Gateway und Windows Firewall gar nicht.

Vermutlich nicht da die Clients theoretisch auf den DC schreiben können müssen oder?
So ist es... da gibt es noch mehr Anforderungen. Hängt natürlich ein Stück weit auch von der eingesetzten Software ab.


Gruß
Dani