3
DC hinter FW
Hi,
die Bedrohung durch Ransomware und co wird ja immer größer und realer. Aktuell denke ich über Optionen nach wie wir die Umgebung deutlich sicherer machen könnten.
Dazu gehören z.B. Maßnahmen wie
- Hypervisor, NetApp Management etc. ist hinter einer Firewall und nur noch über einen Jumphost erreichbar der selbst nur aus einem Subnetz erreichbar ist
- wir denken über diverse Szenarien nach
Nun haben wir eh schon eineige RO-DCs im Einsatz. Wäre es theoretisch denkbar die R/W DCs hinter eine Firewall zu setzen und lediglich ein Zugriff von den RO-DCs auf die R/W DCs zu ermöglichen? Vermutlich nicht da die Clients theoretisch auf den DC schreiben können müssen oder?
die Bedrohung durch Ransomware und co wird ja immer größer und realer. Aktuell denke ich über Optionen nach wie wir die Umgebung deutlich sicherer machen könnten.
Dazu gehören z.B. Maßnahmen wie
- Hypervisor, NetApp Management etc. ist hinter einer Firewall und nur noch über einen Jumphost erreichbar der selbst nur aus einem Subnetz erreichbar ist
- wir denken über diverse Szenarien nach
Nun haben wir eh schon eineige RO-DCs im Einsatz. Wäre es theoretisch denkbar die R/W DCs hinter eine Firewall zu setzen und lediglich ein Zugriff von den RO-DCs auf die R/W DCs zu ermöglichen? Vermutlich nicht da die Clients theoretisch auf den DC schreiben können müssen oder?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 83430902212
Url: https://administrator.de/contentid/83430902212
Printed on: May 2, 2024 at 00:05 o'clock
3 Comments
Latest comment
Moin @matze81,
ja, leider. 😭
Sehr gut und wenn Hypervisor = Hyper-V, dann bitte auch gleich mit einer separaten Managementdomäne.
Wir setzen wo es geht die DC's der Produktivdomänen mittlerweile in einem eigenen Subnetz auf und filtern sämtliche Zugriffe durch ein SGW.
Gruss Alex
die Bedrohung durch Ransomware und co wird ja immer größer und realer. Aktuell denke ich über Optionen nach wie wir die Umgebung deutlich sicherer machen könnten.
ja, leider. 😭
Dazu gehören z.B. Maßnahmen wie
- Hypervisor, NetApp Management etc. ist hinter einer Firewall und nur noch über einen Jumphost erreichbar der selbst nur aus einem Subnetz erreichbar ist
- wir denken über diverse Szenarien nach
- Hypervisor, NetApp Management etc. ist hinter einer Firewall und nur noch über einen Jumphost erreichbar der selbst nur aus einem Subnetz erreichbar ist
- wir denken über diverse Szenarien nach
Sehr gut und wenn Hypervisor = Hyper-V, dann bitte auch gleich mit einer separaten Managementdomäne.
Nun haben wir eh schon eineige RO-DCs im Einsatz. Wäre es theoretisch denkbar die R/W DCs hinter eine Firewall zu setzen und lediglich ein Zugriff von den RO-DCs auf die R/W DCs zu ermöglichen? Vermutlich nicht da die Clients theoretisch auf den DC schreiben können müssen oder?
Wir setzen wo es geht die DC's der Produktivdomänen mittlerweile in einem eigenen Subnetz auf und filtern sämtliche Zugriffe durch ein SGW.
Gruss Alex
Ich hab meine neuen DCs im Servernetz stehen, ist halt eine Port-Orgie an der Firewall aber machbar.
Moin,
bloß mit einer Microsegmentierung und Gateway Zonen bzw. Firewall ist es nicht getan. Das schützt eure DCs nicht vor NTLM Relaying & Co. Da hilft eine Gateway und Windows Firewall gar nicht.
Gruß
Dani
bloß mit einer Microsegmentierung und Gateway Zonen bzw. Firewall ist es nicht getan. Das schützt eure DCs nicht vor NTLM Relaying & Co. Da hilft eine Gateway und Windows Firewall gar nicht.
Vermutlich nicht da die Clients theoretisch auf den DC schreiben können müssen oder?
So ist es... da gibt es noch mehr Anforderungen. Hängt natürlich ein Stück weit auch von der eingesetzten Software ab.Gruß
Dani
