Active Directory - Security Tipps

dj-hotline

Cadet 4th Year
Registriert
Sep. 2007
Beiträge
114
Hallo Gemeinde,

ich bin dabei an unserer Infrastruktur herumzuschrauben und bin auf der Suche nach Hardening Empfehlungen für Clients und Server. Gerne auch direkte Tipps. Als Beispiel: Ich habe für jeden Server die einzelnen Dienste und Tasks entsprechende User und Berechtigungen gebaut (Group Managed Service Accounts). Firewallregeln Vlans konfiguriert. LAPS usw.

Nun suche ich weitere Ideen und Ansätze die Sicherheit zu verbessern. Daher mal ne Frage was andere hier so umgesetzt haben.

LG
 
Kann jeder Heinz und Künigunde bei euch bis zu 10 Rechner in die Domäne bringen?
 
  • Gefällt mir
Reaktionen: dj-hotline
Kein Internet fuer Alle. Kein Nutzer ausser Admin hat Adminrechte. Auch Admins arbeiten mit Accounts ohne Adminrechte. Zusaetzlich zur NAC noch ABE wenn Nutzer auf zentrale Shares zugreifen sollen.

Wie gross ist die Intrastruktur?
Bekommt jedes Geraet was in eine Netzwerkdose gesteckt wird eine IP?
Kann sich jeder mit einem WLAN verbinden?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: dj-hotline und Matthias80
Es gibt von Microsoft selbst die "Microsoft Security Compliance Toolkit".
Also die Guidelines, was MS empfiehlt.
Da kann man super alle Admin ärgern mit, wenn überall clipboard und andere Dinge nicht mehr funktionieren :D
Trotzdem ein guter Ansatz.
 
  • Gefällt mir
Reaktionen: dj-hotline
AD Tiering
Test-Passwordpolicy oder andere Methoden um zu prüfen, ob es grobe Probleme gibt mit User-Passwörtern
Ich habe auch schon 2FA für RDP-Verbindungen gesehen

Auch mal das Backup überprüfen - insbesondere, dass man mit einem (gekaperten) Domain-Admin auf keinen Fall die Backups kompromittieren kann
  • offsite + offline / immutable Kopien
  • sauberer Verlauf und (wenn möglich) regelmäßige (automatisierte) Restore-Tests der Backups
 
  • Gefällt mir
Reaktionen: razzy und dj-hotline
Mal PingCastle laufen lassen und sich die Empfehlungen anschauen und abarbeiten.
 
  • Gefällt mir
Reaktionen: matze313, konkretor, dj-hotline und eine weitere Person
Hallo, zusammen und danke für die Beteiligung!

XamBonX schrieb:
Kann jeder Heinz und Künigunde bei euch bis zu 10 Rechner in die Domäne bringen?
  • Nein hierzu habe ich einen dedizierten User erstellt. Der nur dazu verwendet wird. (er hat auch sonst keine Rechte im System)

Freakazoid_02 schrieb:
Netzwerkzugriffssteuerung (NAC)
  • Ich möchte das Thema mit einem Netzwerkrichtlinienserver (NPS) angehen.

BFF schrieb:
Kein Internet fuer Alle. Kein Nutzer ausser Admin hat Adminrechte. Auch Admins arbeiten mit Accounts ohne Adminrechte. Zusaetzlich zur NAC noch ABE wenn Nutzer auf zentrale Shares zugreifen sollen.

Wie gross ist die Intrastruktur?
Bekommt jedes Geraet was in eine Netzwerkdose gesteckt wird eine IP?
Kann sich jeder mit einem WLAN verbinden?
  • Wir arbeite nach dem Least-Privilege-Prinzip
  • Ich habe hier ca. 20 Server gesplittet in eine Management (Hyper-V Cluster, Backupserver) und Arbeitsdomain.
  • aktuell ja landen aber in einem dedizierten (default VLAN das lediglich internet hat ohne Zugriff auf die Systemumgebung
  • WLAN ist hier noch eine grauzone

Mac_Leod schrieb:
Es gibt von Microsoft selbst die "Microsoft Security Compliance Toolkit".
Also die Guidelines, was MS empfiehlt.
Da kann man super alle Admin ärgern mit, wenn überall clipboard und andere Dinge nicht mehr funktionieren :D
Trotzdem ein guter Ansatz.
  • Ist allerdings ach vieles dabei das sich als KMU nur begrenzt Umsätzen lässt. Dedizierte Verwaltungsclients pro TIER übersteigt dann die Möglichkeiten

XN04113 schrieb:
das BSI ist hier eine gute Anlaufstelle
  • Hier würde ich den Grundschutzaktivator empfehlen. Halte ich für Zielführender sich einzelne Paket zusammenzustellen

Rickmer schrieb:
AD Tiering
Test-Passwordpolicy oder andere Methoden um zu prüfen, ob es grobe Probleme gibt mit User-Passwörtern
Ich habe auch schon 2FA für RDP-Verbindungen gesehen

Auch mal das Backup überprüfen - insbesondere, dass man mit einem (gekaperten) Domain-Admin auf keinen Fall die Backups kompromittieren kann
  • offsite + offline / immutable Kopien
  • sauberer Verlauf und (wenn möglich) regelmäßige (automatisierte) Restore-Tests der Backups
  • Den Passwordpolicy Test kannte ich noch nicht. Werde ich mir anschauen Danke.
  • Ist durch die Splittung und den fehlenden Berechtigungen durch die Unterschiedlichen Domains und deren Trennung (dedizierter physischer PC für die Verwaltung) recht sicher aufgebaut mit Offlinebackups und Dumps der Datenbanken in unabhängigen S3 Speichern

dahkenny schrieb:
Mal PingCastle laufen lassen und sich die Empfehlungen anschauen und abarbeiten.
  • Habe ich schon auf dem Plan. Sehr cooles Tool

Im großen und ganzen scheint das was ich so bastele zu passen bzw. Bin auf dem richtigen weg.

Vielleicht für andere noch als Ansatz interessant. Ich habe mir von verschiedenen Versicherungen die Fragebogen für eine Cyberversicherung schicken lassen. Je nach Umsatzgröße haben die Fragebogen schnell 40 Seiten. Da waren auch ein paar Punkte die ich mir notiert hatte (kann ich nicht mehr nachvollziehen ist schon ca. 1 Jahr her)

LG
 
  • Gefällt mir
Reaktionen: dahkenny
dj-hotline schrieb:
Den Passwordpolicy Test kannte ich noch nicht. Werde ich mir anschauen Danke.
Ich hatte mich da etwas geirrt - ich meinte eigentlich den Test-PasswordQuality Befehl aus demselben DSInternals Repo
 
  • Gefällt mir
Reaktionen: dj-hotline
Kein Problem. War mir gar nicht aufgefallen da ich mir das ganze Repo angeschaut habe ;-)
 
  • Gefällt mir
Reaktionen: Rickmer
dj-hotline schrieb:
  • Netzwerkrichtlinienserver (NPS) angehen.
Kannste in einer kleinen Umgebung machen, würde dir aber eine andere Lösung ans Herz legen.

Der NPS wird sehr stiefmütterlich von MS behandelt - bietet viel zu wenig Features, Logging ist eine einzige Katastrophe und die Skalierbarkeit / Management ist auch absoluter Mist.

Was habt ihr denn an Netzwerkhardware? Die Cisco ISE kostet nicht die Welt. HP/Aruba hat mir der Clearpass ein ähnliches Produkt im Angebot.
Gibt auch noch Herstellerunabhängige Lösungen von z.B. Macmon oder Arpguard
 
  • Gefällt mir
Reaktionen: dj-hotline
Den BSI Grundschutz umsetzen dann ist man an sich durch. Der deckt von Klein bis Groß alles ab.
 
  • Gefällt mir
Reaktionen: dj-hotline
@Skysnake Als KMU allerdings ne Lebensaufgabe neben dem Tagesgeschäft :D

LG
 
Ne, anfangen und sehen das man ziemlich viel gar machen muss mach Risikobewerrung oder sich Zeit lassen kann.
 
  • Gefällt mir
Reaktionen: dj-hotline
Kann auch PingCastle empfehlen :D Je nach bisheriger Bemühung bzgl AD-Sicherheit hat man nach dem ersten Scan alle Hände voll zu tun :)
 
  • Gefällt mir
Reaktionen: dj-hotline
Zurück
Oben