none
Umsetzung Active Directory tier model RRS feed

  • Allgemeine Diskussion

  • Hallo zusammen

    ich habe den Auftrag erhalten das tier model in unserer Single Domain umzusetzen so wie es hier beschrieben ist. Nun habe ich ein paar GPO's gebaut welche deny und allow Logon für gewisse "tiers" erlauben. Aber das ganze scheint mir noch nicht ganz secure. Kennt jemand einen Link oder eine Beschreibung wie das umzusetzen ist?

    Meine Tiers sind

    Tier0 (DC/Exchange/CA/HyperV/Backup)
    Tier1 (Applikationsserver und Datenbanken)
    Tier2 (Helpdesk und WS-Admins)

    Ich habe 3 GPO's welche wieder auf die jeweiligen User im Tir zugewiesen ist:

    Tier0 Allow Login/RDP/Batch/Service für Domain und Exchange Admins / Deny ist in diesem Fall nicht nötig oder?
    Tier1 Allow Login/RDP/Batch/Service Tier1_Admin (Group) / deny Tier0 und Tier2
    Tier2 Allow Login/RDP/Batch/Service Tier2_admin (Group) /deny Tier0 und Tier1

    Nun die Frage ob das so richtig ist und genügt.

    Besten dank & Gruss

    Florian

    Montag, 23. Oktober 2017 19:07

Alle Antworten

  • Hallo Florian,

    nach meinem Verständnis gehört auf Tier 0 nur die DCs und die Systeme welche die DCs verwalten wie die Admin Workstation für DCs und die System Center Systeme welche direkt mit oder auf die DCs wirken.

    Exchange und Hyper-V gehören für mich in den Tier 1 als Applikationsserver. Die Hyper-V Server sollte man aber auf der Tier 1 Ebene auch separieren wie es in der zweiten Grafik zu sehen ist.

    Dem entsprechend gehört auch auf Tier 0 eine Deny Liste.

    Gruß Benjamin


    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012

    Dienstag, 24. Oktober 2017 04:09
  • Tier0 (DC/Exchange/CA/HyperV/Backup)

    Wie Benjamin schon schrub: Tier 0 ist die Account-DB der Domäne. Also Domain Controller sowie alle Systeme, die Agenten auf den DCs haben. Dazu gehört SCCM/SCOM, WSUS und alles was Ihr sonst noch habt. Die CA ist prinzipiell auch Tier 0, sollte aber separiert werden.

    Wenn Du 2016 verwendest, kannst Du shielded VMs für die DCs verwenden, dann ist HyperV Tier 1.

    Tier1 (Applikationsserver und Datenbanken)
    Tier2 (Helpdesk und WS-Admins)

    Ne, Tier2 sind keine User, sondern auch Computer :-) Und zwar Workstations.

    Tier0 Allow Login/RDP/Batch/Service für Domain und Exchange Admins / Deny ist in diesem Fall nicht nötig oder?

    Deny brauchst "eigentlich" nur für Gruppen höherer Tiers, aber der Ordnung halber würde ich das vollständig definieren. Dann gibt es später keine Unklarheiten :-)

    Tier1 Allow Login/RDP/Batch/Service Tier1_Admin (Group) / deny Tier0 und Tier2

    Prinzipiell ja, aber getrennt nach Applikation - also SQL-Admins, XCH-Admins, Oracle-Admins und was Ihr halt so habt.

    Nun die Frage ob das so richtig ist und genügt.

    Aus meiner Sicht grundsätzlich ja. Batch & Service würde ich aber von Interactive/RDP trennen. Schon wegen Kennwortablauf...

    Dienstag, 24. Oktober 2017 08:36
  • Hallo Martin,

    interessant die Aussage: "Dazu gehört SCCM/SCOM, WSUS und alles was Ihr sonst noch habt."

    Was ist mit den SCOM bzw. SCCM Verbindungen zum Backend im Tier 1? Ist dies nicht im Konflikt mit dem Tier Model?

    Würde gerne deine Meinung dazu hören. Danke im Voraus!

    Gruss, 


    Stoyan (Please take a moment to "Vote as Helpful" and/or "Mark as Answer" where applicable. This helps the community, keeps the forums tidy, and recognizes useful contributions. Thanks!) Blog: https://blog.pohn.ch/ Twitter: @StoyanChalakov

    Freitag, 6. April 2018 11:34
  • Nein, es steht nicht im Konflikt. Alles was administrative Berechtigungen auf einem DC hat/braucht muss auch im Tier 0 laden. Was bring es wenn ich den DC massiv absichere aber ein jemand nur ein Skript über den SCOM "verteilen" braucht um den DC zu manipulieren.

    Ggf. muss man über getrennte Instanzen der Infrastruktur nachdenken. Je Tier Ebene eine separate Installation für solche Dienste. 


    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012


    Freitag, 6. April 2018 12:01
  • Hi Benjamin,

    eine Instanz (Management Gruppe) per Tier ist schon eine potentielle Lösung, ist aber auch ein Overkill wenn die zu überewachende Umgebung klein ist.

    Wenn ich das richtig verstehe spricht nichts dagegen, wenn SCOM (die Management Server) im Tier 0 liegen und die DB in Tier 1?

    Danke dir und Gruss,


    Stoyan (Please take a moment to "Vote as Helpful" and/or "Mark as Answer" where applicable. This helps the community, keeps the forums tidy, and recognizes useful contributions. Thanks!) Blog: https://blog.pohn.ch/ Twitter: @StoyanChalakov

    Montag, 9. April 2018 11:06
  • Letztendlich geht es ja darum administrative Berechtigungen zu trennen. Wenn das Dienstkonto für den Datenbankzugriff keine Admin Rechte auf Tier 0 hat sollte dem nichts entgegen stehen.

    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012

    Montag, 9. April 2018 12:12
  • > Wenn ich das richtig verstehe spricht nichts dagegen, wenn SCOM (die Management Server) im Tier 0 liegen und die DB in Tier 1?

    Der "Overkill" ist korrekt - wie Benjamin auch schreibt: Alles, was administrativen Zugriff auf Domain Controller in Tier 0 hat, gehört selbst zu Tier 0 und darf daher nicht delegiert werden. Das bedeutet konsequenterweise tatsächlich, die ganze Management-Infrastruktur doppelt zu haben.

    Und ich weiß ja nicht, was SCOM alles aus seiner Datenbank holt, aber da dürften ja die Management Packs auch drinliegen. Und dann kommt ein DB-Admin und schiebt mir in einem MP ein Skript unter?

    Wenn man es zu Ende denkt und umsetzt, ist der Aufwand riesig - vor allem im Gesamtunternehmen :()

    Montag, 9. April 2018 13:39
  • Hi Benjamin

    Ich denke nicht vergessen sollte man die ganzen Backup Prozesse oder? die haben ja ob gewollt oder nicht immer Vollzugriff auf die Systeme bzw. ein Backup.

    Was mir fehlt bzw. was ich bisher nicht gefunden habe ist ein Vorschlag der Aufwand und Ertrag am besten aufzeigt. Dieser ist aber wohl auch nirgends zu finden da die Umgebungen und Anforderungen ja nicht immer gleich sind.

    Dienstag, 10. April 2018 07:32
  • Hallo Florian,

    wie du ja schon sagst: es ist nicht nur der Backup Prozess selber, auch die Backups der DCs müssen entsprechend sicher aufbewahrt werden. Was hilft es mir wenn ich die DCs maximal gesichert habe, aber jeder Backup Operator ntds.dit Datei aus dem Backup holen kann und so die Password Hashs aller Nutzer hat.

    Ich persönlich verfolge die Strategie: Alles was mit vertretbarem Aufwand möglich ist sollte man auch machen. Einen 100% Schutz kann es nicht geben, aber das Ziel sollte sein alles so sicher wie möglich zu machen. In einem kleinen 20 Mann/Frau Betrieb werde ich nicht den selben Sicherheitsaufwand betreiben können wie in einem Internationalem Konzern.


    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012

    Mittwoch, 11. April 2018 04:46
  • Warum nicht SCOM incl. DB in Tier 0 betreiben und von da aus Tier 0 und Tier 1 überwachen?

    Laut der Aussage eines Mitarbeiters vom Microsoft Cyber Team sei dies eine gangbare Lösung. Die Alternative dazu ist eine dedizierte Management Gruppe einmal für Tier 1 und einmal für Tier 0, was aber einen riesen Overkill erzeugt bei grossen Unternehmen die mehre Forests betreiben.


    • Bearbeitet Michael S CH Donnerstag, 5. Juli 2018 08:09 typo
    Donnerstag, 5. Juli 2018 08:09
  • Da hast du dir die Antwort selbst gegeben. Das Tier Model kann man selten wirklich 1:1 anwenden, man muss es immer an die eigene Umgebung anpassen. Je kleiner die Umgebung ist des schwieriger wird es die Tiers wirklich scharf zu trennen. Wichtig ist hier, dass du dir der Gefahren bewusst bist und die für euch beste Kosten/Nutzen Lösung findest. 

    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012

    Donnerstag, 5. Juli 2018 08:15