matze81
Goto Top

DC hinter FW

Hi,
die Bedrohung durch Ransomware und co wird ja immer größer und realer. Aktuell denke ich über Optionen nach wie wir die Umgebung deutlich sicherer machen könnten.

Dazu gehören z.B. Maßnahmen wie
- Hypervisor, NetApp Management etc. ist hinter einer Firewall und nur noch über einen Jumphost erreichbar der selbst nur aus einem Subnetz erreichbar ist
- wir denken über diverse Szenarien nach


Nun haben wir eh schon eineige RO-DCs im Einsatz. Wäre es theoretisch denkbar die R/W DCs hinter eine Firewall zu setzen und lediglich ein Zugriff von den RO-DCs auf die R/W DCs zu ermöglichen? Vermutlich nicht da die Clients theoretisch auf den DC schreiben können müssen oder?

Content-Key: 83430902212

Url: https://administrator.de/contentid/83430902212

Printed on: July 19, 2024 at 09:07 o'clock

Member: MysticFoxDE
MysticFoxDE Aug 27, 2023 at 05:03:09 (UTC)
Goto Top
Moin @matze81,

die Bedrohung durch Ransomware und co wird ja immer größer und realer. Aktuell denke ich über Optionen nach wie wir die Umgebung deutlich sicherer machen könnten.

ja, leider. ­čśş

Dazu gehören z.B. Maßnahmen wie
- Hypervisor, NetApp Management etc. ist hinter einer Firewall und nur noch über einen Jumphost erreichbar der selbst nur aus einem Subnetz erreichbar ist
- wir denken über diverse Szenarien nach

Sehr gut und wenn Hypervisor = Hyper-V, dann bitte auch gleich mit einer separaten Managementdomäne.

Nun haben wir eh schon eineige RO-DCs im Einsatz. Wäre es theoretisch denkbar die R/W DCs hinter eine Firewall zu setzen und lediglich ein Zugriff von den RO-DCs auf die R/W DCs zu ermöglichen? Vermutlich nicht da die Clients theoretisch auf den DC schreiben können müssen oder?

Wir setzen wo es geht die DC's der Produktivdomänen mittlerweile in einem eigenen Subnetz auf und filtern sämtliche Zugriffe durch ein SGW.

Gruss Alex
Member: ukulele-7
ukulele-7 Aug 29, 2023 at 06:18:49 (UTC)
Goto Top
Ich hab meine neuen DCs im Servernetz stehen, ist halt eine Port-Orgie an der Firewall aber machbar.
Member: Dani
Dani Aug 31, 2023 at 17:30:01 (UTC)
Goto Top
Moin,
bloß mit einer Microsegmentierung und Gateway Zonen bzw. Firewall ist es nicht getan. Das schützt eure DCs nicht vor NTLM Relaying & Co. Da hilft eine Gateway und Windows Firewall gar nicht.

Vermutlich nicht da die Clients theoretisch auf den DC schreiben können müssen oder?
So ist es... da gibt es noch mehr Anforderungen. Hängt natürlich ein Stück weit auch von der eingesetzten Software ab.


Gruß
Dani