none
Frage zu AGPM RRS feed

  • Frage

  • Hallo zusammen,

    wir setzen im Moment das AGPM mit der GUI ein. Unsere neuen DC´s sollen aber Core-Server werden.

    Kann man hier das AGMP auch nutzen?  Habt Ihr Erfahrungen beim Einsatz von DC´s als Server-Core? Oder soll man gemischte DC´s installieren? (Einen als Core und einen mit GUI?)

    Oder hole ich mir hier mehr Probleme ins Haus als gewollt?
    Wir wollen aus der Sicht der Security alle Server die möglich sind als Core-Installation durch führen 

    Vielen Dank für Eure Erfahrungen.

    Viele Grüße

    Tom

    Montag, 5. August 2019 12:36

Antworten

  • Moin,

    AGPM setzt nirgens voraus, dass die GUI direkt auf einem DC ausgeführt wird.

    Und was Core und Sicherheit betrifft... hier ein paar Gedankenanstöße, in keiner besonderen Reihenfolge:

    • ein Hacker wird euren DC nicht über die GUI angreifen
    • seid ihr denn schon soweit, alles komplett remote (damit ist NICHT RDP gemeint) zu administrieren? --> offenbar nicht, s. ursprüngliche Frage. Dann macht erst mal das, und wenn ihr feststellt, dass seit einem halben Jahr nienmand mehr interaktiv auf einem DC war, *dann* könnt ihr über Core reden
    • Core kann durchaus grafische Tools ausführen, sie dürfen nur nicht auf Forms basieren --> damit schließt ihr also ein kleines Softwarehaus vom Dorf wirkungsvoll aus, nicht aber einen versierten Angreifer
    • ruhende Software (= GUI, die niemand startet) kann kaum für einen Angriff verwendet werden
    • Kann euer Virenscanner, Backup Agent, Inventory Agent, RAID-Treiber usw. usf. schon Core?

    Aber technisch kann man durchaus DCs mit Core ausrollen :-)


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert Wagner Thomas Dienstag, 6. August 2019 05:30
    Montag, 5. August 2019 20:26

Alle Antworten

  • Moin,

    AGPM setzt nirgens voraus, dass die GUI direkt auf einem DC ausgeführt wird.

    Und was Core und Sicherheit betrifft... hier ein paar Gedankenanstöße, in keiner besonderen Reihenfolge:

    • ein Hacker wird euren DC nicht über die GUI angreifen
    • seid ihr denn schon soweit, alles komplett remote (damit ist NICHT RDP gemeint) zu administrieren? --> offenbar nicht, s. ursprüngliche Frage. Dann macht erst mal das, und wenn ihr feststellt, dass seit einem halben Jahr nienmand mehr interaktiv auf einem DC war, *dann* könnt ihr über Core reden
    • Core kann durchaus grafische Tools ausführen, sie dürfen nur nicht auf Forms basieren --> damit schließt ihr also ein kleines Softwarehaus vom Dorf wirkungsvoll aus, nicht aber einen versierten Angreifer
    • ruhende Software (= GUI, die niemand startet) kann kaum für einen Angriff verwendet werden
    • Kann euer Virenscanner, Backup Agent, Inventory Agent, RAID-Treiber usw. usf. schon Core?

    Aber technisch kann man durchaus DCs mit Core ausrollen :-)


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert Wagner Thomas Dienstag, 6. August 2019 05:30
    Montag, 5. August 2019 20:26
  • Guten Morgen Evgenij,

    vielen Dank für Deine Denkanstöße. Wir wollen einen Server installieren wo wir dann sämtliche Konsolen installieren und somit dann auch die Anmeldung direkt auf den Servern minimieren. Von diesem (GUI-)Server wollen wir dann alles administrieren.

    Also siehst Du den Core-Server dann eher als "Weniger Windows Updates installieren" als dass es zur Sicherheit beiträgt?

    Viele Grüße

    Tom

    Dienstag, 6. August 2019 05:30
  • Moin, freilich nur meine persönliche Meinung, aber ja. Core ist weniger Update-Volumen, aber kaum mehr Sicherheit. Wenn ihr auf Sicherheit bedacht seid, solltet ihr aber lieber keinen Multisession-Jump-Host machen, sondern einzelne Maschinen. Am besten VMs, die bei Abmeldung zerstört werden, mit allen Spuren der Admin-Sitzung.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 6. August 2019 05:41
  • Guten Morgen Evgenij,

    gibt's da was automatisiertes dass sich die Maschine nach der Abmeldung zerstört? Ansonsten ist das ja ein riesen Aufwand.

    Viele Grüße

    Tom

    Mittwoch, 7. August 2019 05:51
  • Naja, jedes VDI-System kann das, auch die Microsoft RDS-VDI. Wenn ihr derartiges nicht am Start habt, könnt ihr die VMs auch dauerhhaft betreiben.  Alles besser als eine geteilte Admin-Maschine ;-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 7. August 2019 06:05
  • Hallo Evgenij,

    was spricht gegen eine geteilte Admin-Maschine?

    Das "Zerstören" beim Abmelden, kann das der SCVMM auch?

    Viele Grüße

    Tom

    Dienstag, 13. August 2019 10:54
  • Ich bin zwar nicht Evgenij,

    gebe aber trotzdem meinen Senf dazu =)

    Gegen eine geteilte Admin Maschine spricht z.B. das jeder Angemeldete User Zugriff auf den Traffic und Daten im Arbeitsspeicher hat, also auch ein Hacker, der auf der Kiste mit drauf ist.

    Viel schlimmer ist aber, die Kiste nach der Nutzung nicht zu zerstören. Denn mit so einem Jumphost, von dem aus alle Dienste administrierbar sind, hat man alle Risiken auf einen Server gebündelt, wird der gekapert, hast du quasi deine ganze Infrastruktur verloren.

    Ein Server kann aber nur gekapert werden, wenn er auch läuft. Ein Server, der nur für die aktuelle Session automatisch generiert wird und auch wider gelöscht wird, bietet also nur ein sehr kleines Zeitfenster zum kapern, plus wechselnde IPs, wenn man will. Und natürlich sollte die Kiste nicht in Internet geroutet sein.

    Gruß

    Dienstag, 13. August 2019 12:00
  • Hallo Marc,

    sehr gerne :-)

    Ich frage mich nur wie ich das machen soll dass die Maschinen nach dem Abmelden dann "zerstört" werden und bei einer Anmeldung dann wieder verfügbar sind? Gibt es da eine Autonation?

    Viele Grüße

    Tom

    Dienstag, 13. August 2019 14:27