Inhalt
In diesem Workshop zeigen wir Ihnen, wie wichtig es ist, Ihr Active Directory zu schützen. Sie erlernen, diverse Angriffsszenarien zu verstehen und sie zu verhindern und eine Active-Directory-Implementierung umzusetzen, die diesen Angriffen standhält.
Zielgruppe:
- Netzwerkadministratoren
- Sicherheitsexperten
Empfohlene Vorkenntnisse:
- Erfahrung mit Active Directory
- Erfahrung mit Clientsysteme
Inhalte:
• Einführung und Best Practices zur Installation von Domänencontrollern
• Hausgemachte Sicherheitsprobleme in Active Directory
o Kerberos verstehen
o NTLM vs. Kerberos
o SMB (Versionen, Angriffsszenarien, sicherer Einsatz)
o PAC-Validation und die Probleme mit der Microsoft-Implementierung von Kerberos
o PTH – Pass the Hash/Silver Ticket/Golden Ticket/Skeleton Key
• Kerberos Ticket Service
o Kerberos-Passwörter ändern
• Credential-Thefting verhindern
o Angriffsszenarien (PTH – Pass the Hash/Silver Ticket/Golden Ticket/Skeleton Key)
o Windows Defender Credential Guard, Windows Defender Remote Credential Guard BitLocker, Windows Defender Device Guard, AppLocker, Windows Defender Application Guard
• Konzepte verstehen
o Tier-Modelle betreiben
o Red Forest/Golden Forest/Bastion Forests
o Single-Domain-Modell hochsicher
• Clean-Installation-Source
o Hash-Werte der *.iso-Dateien verifizieren
o Fciv.exe
o PowerShell
o 7zip und IgorHasher
• Aufsetzen des ersten Domänencontrollers
o ms-ds-machineaccountquota verstehen
o redircmp einsetzen für neue Computersysteme
o redirusr einsetzen für neue User
o BitLocker und TPM 1.2 vs. 2.0
o BitLocker und Pre-Boot-Authentifizierung
o AppLocker
o Monitoring (AD-Audit-Plus, CyberArk)
o Sicheres Backup und Recovery von BitLocker-geschützen Backup-Volumes
o Firewalling auf Domänencontrollern
o IPSec mit RDP konfigurieren
o Härten der Domänencontroller nach Center of Internet Security/gpPack& PaT/SIM/LDA/Microsoft-Tools
• Aufsetzen weiterer Domänencontroller
o Secure Deployment von Domänencontrollern, Memberservern und Clients via MDT
 Installation und Konfiguration von MDT hochsicher
 Härtung von MDT-Servern
 Ausrollen hochsicherer Memberserver und Clients
• Domänencontroller sicher via IPSec betreiben
o IPSec-Monitoring via MMC
• PKI-Server aufsetzen als interne Trusted-ROOT-CA
o Automatisches Zertifikatsdeployment aktivieren via Gruppenrichtlinien
o Enrollement von Nicht-Standard-Zertifikaten
o Härten der PKI nach Center of Internet Security/gpPack& PaT/SIM/LDA/Microsoft-Tools
• Jump-Server und Priviliged Acccess Workstation (PAW) – Konzepte verstehen und umsetzen
o Jump-Server aufsetzen und konfigurieren (RSAT-Installation, ADMIN-Center installieren mit gültigem Zertifikat einer Trusted-Root-PKI, BitLocker und TPM 1.2 vs. 2.0, BitLocker und Pre-Boot-Authentifizierung, AppLocker, IPSec mit RDP konfigurieren, Backup von Jump-Servern auf BitLocker-geschützte Volumes, Firewalling auf Jump-Servern)
o Härten der Jump-Server nach Center of Internet Security/gpPack& PaT/SIM/LDA/Microsoft-Tools
o PAW aufsetzen und konfigurieren (BitLocker und TPM 1.2 vs. 2.0, BitLocker und Pre-Boot-Authentifizierung, AppLocker, IPSec und RDP konfigurieren, Backup von PAWs auf BitLocker-geschützte Volumes, Firewalling auf PAWs)
o Härten der Domänencontroller nach Center of Internet Security/gpPack& PaT/SIM/LDA/Microsoft-Tools
• Sicherheit in Domänennetzwerken
o 802.1X mit MAC-Adressen/Zertifikaten
o MAC-Flooding auf Switchen und Hubbing-Modus ausschalten
o IPSec mit Kerberos und Zertifikaten
• Windows Defender Advanced Threat Protection (WDATP)
o Konzept von WDATP verstehen
o WDATP ausrollen und überwachen
WDATP auf Domänencontrollern/Jump-Servern und PAWs/Windows-10-Clients
- Unterrichtsart
- Web-Seminar