3
DC hinter FW
Hi,
die Bedrohung durch Ransomware und co wird ja immer größer und realer. Aktuell denke ich über Optionen nach wie wir die Umgebung deutlich sicherer machen könnten.
Dazu gehören z.B. Maßnahmen wie
- Hypervisor, NetApp Management etc. ist hinter einer Firewall und nur noch über einen Jumphost erreichbar der selbst nur aus einem Subnetz erreichbar ist
- wir denken über diverse Szenarien nach
Nun haben wir eh schon eineige RO-DCs im Einsatz. Wäre es theoretisch denkbar die R/W DCs hinter eine Firewall zu setzen und lediglich ein Zugriff von den RO-DCs auf die R/W DCs zu ermöglichen? Vermutlich nicht da die Clients theoretisch auf den DC schreiben können müssen oder?
die Bedrohung durch Ransomware und co wird ja immer größer und realer. Aktuell denke ich über Optionen nach wie wir die Umgebung deutlich sicherer machen könnten.
Dazu gehören z.B. Maßnahmen wie
- Hypervisor, NetApp Management etc. ist hinter einer Firewall und nur noch über einen Jumphost erreichbar der selbst nur aus einem Subnetz erreichbar ist
- wir denken über diverse Szenarien nach
Nun haben wir eh schon eineige RO-DCs im Einsatz. Wäre es theoretisch denkbar die R/W DCs hinter eine Firewall zu setzen und lediglich ein Zugriff von den RO-DCs auf die R/W DCs zu ermöglichen? Vermutlich nicht da die Clients theoretisch auf den DC schreiben können müssen oder?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 83430902212
Url: https://administrator.de/contentid/83430902212
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
3 Kommentare
Neuester Kommentar
Moin @matze81,
ja, leider. 😭
Sehr gut und wenn Hypervisor = Hyper-V, dann bitte auch gleich mit einer separaten Managementdomäne.
Wir setzen wo es geht die DC's der Produktivdomänen mittlerweile in einem eigenen Subnetz auf und filtern sämtliche Zugriffe durch ein SGW.
Gruss Alex
die Bedrohung durch Ransomware und co wird ja immer größer und realer. Aktuell denke ich über Optionen nach wie wir die Umgebung deutlich sicherer machen könnten.
ja, leider. 😭
Dazu gehören z.B. Maßnahmen wie
- Hypervisor, NetApp Management etc. ist hinter einer Firewall und nur noch über einen Jumphost erreichbar der selbst nur aus einem Subnetz erreichbar ist
- wir denken über diverse Szenarien nach
- Hypervisor, NetApp Management etc. ist hinter einer Firewall und nur noch über einen Jumphost erreichbar der selbst nur aus einem Subnetz erreichbar ist
- wir denken über diverse Szenarien nach
Sehr gut und wenn Hypervisor = Hyper-V, dann bitte auch gleich mit einer separaten Managementdomäne.
Nun haben wir eh schon eineige RO-DCs im Einsatz. Wäre es theoretisch denkbar die R/W DCs hinter eine Firewall zu setzen und lediglich ein Zugriff von den RO-DCs auf die R/W DCs zu ermöglichen? Vermutlich nicht da die Clients theoretisch auf den DC schreiben können müssen oder?
Wir setzen wo es geht die DC's der Produktivdomänen mittlerweile in einem eigenen Subnetz auf und filtern sämtliche Zugriffe durch ein SGW.
Gruss Alex
Ich hab meine neuen DCs im Servernetz stehen, ist halt eine Port-Orgie an der Firewall aber machbar.
Moin,
bloß mit einer Microsegmentierung und Gateway Zonen bzw. Firewall ist es nicht getan. Das schützt eure DCs nicht vor NTLM Relaying & Co. Da hilft eine Gateway und Windows Firewall gar nicht.
Gruß
Dani
bloß mit einer Microsegmentierung und Gateway Zonen bzw. Firewall ist es nicht getan. Das schützt eure DCs nicht vor NTLM Relaying & Co. Da hilft eine Gateway und Windows Firewall gar nicht.
Vermutlich nicht da die Clients theoretisch auf den DC schreiben können müssen oder?
So ist es... da gibt es noch mehr Anforderungen. Hängt natürlich ein Stück weit auch von der eingesetzten Software ab.Gruß
Dani
