0
Tipps zum Active Directory Hardening
Ich härte gerade mein Active Directory nach dem Dokument "CIS W2K12R2 Benchmark v2.1.0", ca 700 Seiten 
Ich gehe davon aus das hier alles enthalten ist um ein AD sicher zu machen und auch den Angriff zu verhindern um golden tickets erstellen zu können (Firmennetzwerk ist bereits umfangreich durch Firewalls gesichert).
Nun wollte ich euch fragen gibt es noch Dinge die zu beachten sind??? Ich habe da noch einige Punkte aufgeschnappt:
1. Separate domain & enterprise admin accounts (hier bin ich auch schon in Gange, ich entferne den Administratoren die Rolle Enterprise und Domain Admin. Für jede Funktion, wie z.b. GPO, Computer Objekte, Usermanagement soll es entsprechende Accounts geben. Es wird in Zukunft 2-3 Domänen Admin Accounts geben, welche aber im Safe liegen werden)
2. GPO: deny logon for domain & enterprise admins on all domain members! (Hier ist die Frage soll ich nun wirklich den Domänen Admins das Recht entziehen sich auf den Domänen Members per RDP einloggen zu dürfen? Wenn ich das mache, wie komme ich dann auf einen Member im Falle von Problemen? Dachte der Domain Admin sollte alles dürfen können (deshalb liegt er ja dann auch im Safe und kein Admin hat die Gruppenmitgliedschaft "Domain Admin")....Ich gehe davon aus das auch der lokale Administrator sich dann auch nicht auf den Membern einloggen darf?! Könnt ich mich hierzu aufklären????
3. One-hop-critical Systems - remove them from AD (Heisst dies, das kein Member in der Domäne sich zum AD verbinden darf? Das finde ich sinnvoll. Ein Admin soll ja in Zukunft nur von einem bestimmten System sich zum AD verbinden.....welche Konfiguration ist das im GPO, welche Regel? Wo kann ich einstellen wer sich zum AD verbinden darf und wer nicht???)
Ich gehe davon aus das hier alles enthalten ist um ein AD sicher zu machen und auch den Angriff zu verhindern um golden tickets erstellen zu können (Firmennetzwerk ist bereits umfangreich durch Firewalls gesichert).
Nun wollte ich euch fragen gibt es noch Dinge die zu beachten sind??? Ich habe da noch einige Punkte aufgeschnappt:
1. Separate domain & enterprise admin accounts (hier bin ich auch schon in Gange, ich entferne den Administratoren die Rolle Enterprise und Domain Admin. Für jede Funktion, wie z.b. GPO, Computer Objekte, Usermanagement soll es entsprechende Accounts geben. Es wird in Zukunft 2-3 Domänen Admin Accounts geben, welche aber im Safe liegen werden)
2. GPO: deny logon for domain & enterprise admins on all domain members! (Hier ist die Frage soll ich nun wirklich den Domänen Admins das Recht entziehen sich auf den Domänen Members per RDP einloggen zu dürfen? Wenn ich das mache, wie komme ich dann auf einen Member im Falle von Problemen? Dachte der Domain Admin sollte alles dürfen können (deshalb liegt er ja dann auch im Safe und kein Admin hat die Gruppenmitgliedschaft "Domain Admin")....Ich gehe davon aus das auch der lokale Administrator sich dann auch nicht auf den Membern einloggen darf?! Könnt ich mich hierzu aufklären????
3. One-hop-critical Systems - remove them from AD (Heisst dies, das kein Member in der Domäne sich zum AD verbinden darf? Das finde ich sinnvoll. Ein Admin soll ja in Zukunft nur von einem bestimmten System sich zum AD verbinden.....welche Konfiguration ist das im GPO, welche Regel? Wo kann ich einstellen wer sich zum AD verbinden darf und wer nicht???)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 302565
Url: https://administrator.de/contentid/302565
Printed on: April 20, 2024 at 00:04 o'clock
