Active Directory - Security Tipps

[dj-hotline]

Hallo Gemeinde,

ich bin dabei an unserer Infrastruktur herumzuschrauben und bin auf der Suche nach Hardening Empfehlungen für Clients und Server. Gerne auch direkte Tipps. Als Beispiel: Ich habe für jeden Server die einzelnen Dienste und Tasks entsprechende User und Berechtigungen gebaut (Group Managed Service Accounts). Firewallregeln Vlans konfiguriert. LAPS usw.

Nun suche ich weitere Ideen und Ansätze die Sicherheit zu verbessern. Daher mal ne Frage was andere hier so umgesetzt haben.

LG

 

[XamBonX]

Kann jeder Heinz und Künigunde bei euch bis zu 10 Rechner in die Domäne bringen?

 

[Freakazoid_02]

Netzwerkzugriffssteuerung (NAC)

 

[BFF]

Kein Internet fuer Alle. Kein Nutzer ausser Admin hat Adminrechte. Auch Admins arbeiten mit Accounts ohne Adminrechte. Zusaetzlich zur NAC noch ABE wenn Nutzer auf zentrale Shares zugreifen sollen.

Wie gross ist die Intrastruktur?
Bekommt jedes Geraet was in eine Netzwerkdose gesteckt wird eine IP?
Kann sich jeder mit einem WLAN verbinden?

 

[Mac_Leod]

Es gibt von Microsoft selbst die "Microsoft Security Compliance Toolkit".
Also die Guidelines, was MS empfiehlt.
Da kann man super alle Admin ärgern mit, wenn überall clipboard und andere Dinge nicht mehr funktionieren
Trotzdem ein guter Ansatz.

 

[XN04113]

das BSI ist hier eine gute Anlaufstelle

 

[Rickmer]

AD Tiering
Test-Passwordpolicy oder andere Methoden um zu prüfen, ob es grobe Probleme gibt mit User-Passwörtern
Ich habe auch schon 2FA für RDP-Verbindungen gesehen

Auch mal das Backup überprüfen - insbesondere, dass man mit einem (gekaperten) Domain-Admin auf keinen Fall die Backups kompromittieren kann

• offsite + offline / immutable Kopien
• sauberer Verlauf und (wenn möglich) regelmäßige (automatisierte) Restore-Tests der Backups

 

[dahkenny]

Mal PingCastle laufen lassen und sich die Empfehlungen anschauen und abarbeiten.

 

[dj-hotline]

Hallo, zusammen und danke für die Beteiligung!

Kann jeder Heinz und Künigunde bei euch bis zu 10 Rechner in die Domäne bringen?

• Nein hierzu habe ich einen dedizierten User erstellt. Der nur dazu verwendet wird. (er hat auch sonst keine Rechte im System)

Netzwerkzugriffssteuerung (NAC)

• Ich möchte das Thema mit einem Netzwerkrichtlinienserver (NPS) angehen.

Kein Internet fuer Alle. Kein Nutzer ausser Admin hat Adminrechte. Auch Admins arbeiten mit Accounts ohne Adminrechte. Zusaetzlich zur NAC noch ABE wenn Nutzer auf zentrale Shares zugreifen sollen.

Wie gross ist die Intrastruktur?
Bekommt jedes Geraet was in eine Netzwerkdose gesteckt wird eine IP?
Kann sich jeder mit einem WLAN verbinden?

• Wir arbeite nach dem Least-Privilege-Prinzip
• Ich habe hier ca. 20 Server gesplittet in eine Management (Hyper-V Cluster, Backupserver) und Arbeitsdomain.
• aktuell ja landen aber in einem dedizierten (default VLAN das lediglich internet hat ohne Zugriff auf die Systemumgebung
• WLAN ist hier noch eine grauzone

Es gibt von Microsoft selbst die "Microsoft Security Compliance Toolkit".
Also die Guidelines, was MS empfiehlt.
Da kann man super alle Admin ärgern mit, wenn überall clipboard und andere Dinge nicht mehr funktionieren
Trotzdem ein guter Ansatz.

• Ist allerdings ach vieles dabei das sich als KMU nur begrenzt Umsätzen lässt. Dedizierte Verwaltungsclients pro TIER übersteigt dann die Möglichkeiten

das BSI ist hier eine gute Anlaufstelle

• Hier würde ich den Grundschutzaktivator empfehlen. Halte ich für Zielführender sich einzelne Paket zusammenzustellen

AD Tiering
Test-Passwordpolicy oder andere Methoden um zu prüfen, ob es grobe Probleme gibt mit User-Passwörtern
Ich habe auch schon 2FA für RDP-Verbindungen gesehen

Auch mal das Backup überprüfen - insbesondere, dass man mit einem (gekaperten) Domain-Admin auf keinen Fall die Backups kompromittieren kann

• offsite + offline / immutable Kopien
• sauberer Verlauf und (wenn möglich) regelmäßige (automatisierte) Restore-Tests der Backups

• Den Passwordpolicy Test kannte ich noch nicht. Werde ich mir anschauen Danke.
• Ist durch die Splittung und den fehlenden Berechtigungen durch die Unterschiedlichen Domains und deren Trennung (dedizierter physischer PC für die Verwaltung) recht sicher aufgebaut mit Offlinebackups und Dumps der Datenbanken in unabhängigen S3 Speichern

Mal PingCastle laufen lassen und sich die Empfehlungen anschauen und abarbeiten.

• Habe ich schon auf dem Plan. Sehr cooles Tool

Im großen und ganzen scheint das was ich so bastele zu passen bzw. Bin auf dem richtigen weg.

Vielleicht für andere noch als Ansatz interessant. Ich habe mir von verschiedenen Versicherungen die Fragebogen für eine Cyberversicherung schicken lassen. Je nach Umsatzgröße haben die Fragebogen schnell 40 Seiten. Da waren auch ein paar Punkte die ich mir notiert hatte (kann ich nicht mehr nachvollziehen ist schon ca. 1 Jahr her)

LG

 

[Rickmer]

Den Passwordpolicy Test kannte ich noch nicht. Werde ich mir anschauen Danke.

Ich hatte mich da etwas geirrt - ich meinte eigentlich den Test-PasswordQuality Befehl aus demselben DSInternals Repo

 

[dj-hotline]

Kein Problem. War mir gar nicht aufgefallen da ich mir das ganze Repo angeschaut habe ;-)

 

[Hammelkoppter]

• Netzwerkrichtlinienserver (NPS) angehen.

Kannste in einer kleinen Umgebung machen, würde dir aber eine andere Lösung ans Herz legen.

Der NPS wird sehr stiefmütterlich von MS behandelt - bietet viel zu wenig Features, Logging ist eine einzige Katastrophe und die Skalierbarkeit / Management ist auch absoluter Mist.

Was habt ihr denn an Netzwerkhardware? Die Cisco ISE kostet nicht die Welt. HP/Aruba hat mir der Clearpass ein ähnliches Produkt im Angebot.
Gibt auch noch Herstellerunabhängige Lösungen von z.B. Macmon oder Arpguard

 

[dj-hotline]

@Hammelkoppter:
Kannste in einer kleinen Umgebung machen, würde dir aber eine andere Lösung ans Herz legen.

Der NPS wird sehr stiefmütterlich von MS behandelt - bietet viel zu wenig Features, Logging ist eine einzige Katastrophe und die Skalierbarkeit / Management ist auch absoluter Mist.

Was habt ihr denn an Netzwerkhardware? Die Cisco ISE kostet nicht die Welt. HP/Aruba hat mir der Clearpass ein ähnliches Produkt im Angebot.
Gibt auch noch Herstellerunabhängige Lösungen von z.B. Macmon oder Arpguard
Hi, keine der beiden Hersteller. Werde mir das mal anschauen. Danke

LG

 

[Skysnake]

Den BSI Grundschutz umsetzen dann ist man an sich durch. Der deckt von Klein bis Groß alles ab.

 

[dj-hotline]

@Skysnake Als KMU allerdings ne Lebensaufgabe neben dem Tagesgeschäft

LG

 

[Skysnake]

Ne, anfangen und sehen das man ziemlich viel gar machen muss mach Risikobewerrung oder sich Zeit lassen kann.

 

[konkretor]

Wenn du keine Zeit hast kannst Geld an das Thema kleben.

Schau dir das mal an

https://github.com/HotCakeX/Harden-Windows-Security

Oder gegen kleines Geld

https://www.gp-pack.com/kaufen/

 

[matze313]

Kann auch PingCastle empfehlen Je nach bisheriger Bemühung bzgl AD-Sicherheit hat man nach dem ersten Scan alle Hände voll zu tun

 

[dj-hotline]

Hallo,

für andere die über den Thread Stolpern hier noch ein weiterer Link:

https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/SiSyPHuS_Win10/SiSyPHuS_node.html