NT SYSTEMS
NETWORK TECHNOLOGY SYSTEMS
PROFESSIONELLE SCHULUNG - WINDOWS SERVER - ACTIVE DIRECTORY - EXCHANGE - SYSTEM CENTER OPERATIONS MANAGER - FAILOVER CLUSTER - PKI - KERBEROS - APP-V - HYPER-V - SQL - SHAREPOINT
Home
Intensivkurse

Windows Server 2008 R2

Server Security 2008 R2
Public Key Infrastructure (PKI)
Kerberos V5

Active Directory 2008 R2
Advanced ADS 2008 R2/2003

Failover Cluster 2008 R2

Terminal Server 2008 R2

SCVMM 2008 R2
Operations Manager 2007 R2
Advanced SCOM 2007 R2
App-V 2010

Exchange Server 2010
Advanced Exchange HA (Exchange 2010)
Advanced Exchange CCR
Exchange Disaster Recovery

IT-Consulting
Aktuelles
Wir über uns
Partner
Unsere Kunden
Trainer - Jobs
Kontakt/Wegweiser
Anmeldung
Intensivkurs KERBEROS Aktualisiert  29.07.2010

Kerberos V5
- Active Directory 2003/2008 R2 -

SCHULUNGSZIEL
Das Authentifizierungsprotokoll in einem Active Directory Forest ist standardmäßig KERBEROS V5. Wenn jedoch Applikationen nicht korrekt konfiguriert sind, wird automatisch das "schwächere" NTLM-Protokoll eingesetzt. Höhere Sicherheit bei der Authentifizierung bekommt man nur mit Kerberos und noch besser in Kombination mit Smart Card, weil kein Password-Hash in der Pre-Authentication Phase über die Leitung zum KDC verschickt wird. Das Thema Kerberos ist hoch komplex und wird daher in diesem Spezialkurs behandelt. Im Kurs lernen Sie die Microsofts Kerberos V5 Implementierung in einem Active Directory 2003/2008 R2 Forest in Details kennen. Neben der Kerberos-Authentifizierung von Windows Clients mit und ohne Smart Card (PKINIT) wird auch Open Source Client am Beispiel von OpenSUSE praktiziert.
Am Beispiel von Benutzer- bzw. Computer-Anmeldung (zunächst ohne Smart Card) in einer Active Directory Domäne analysieren wir die Kommunikation zwischen Client, Resourceserver und Domain Controller (KDC Key Distribution Center) und lernen dabei das Kerberos V5-Protokoll kennen. Das auf Symmetric Key basierte Kerberos Protokoll arbeitet mit diversen Keys um den Austausch der Symmetric Keys über das Netzwerk zu schützen. Session Keys (Short-Term Key) werden zwischen zwei Partnern eingesetzt und ausgetaucht. Sie werden wiederum vom jeweiligen (User, Server, KDC)  Master Key (Long-Term Key) verschlüsselt. Die verschlüselten Session Keys bzw. Tickets: TGT (Ticket Granting Tickets) von Authentication Service (AS) und TGS (Ticket Granting Service Tickets) von Ticket-Granting Service (TGS), bilden so die Grundlage von Kerberos.
Wir studieren die Kerberos-Authentifizierung einer Multi-Domänen-Umgebung mit Root- und Subdomänen (siehe Bild) um die Mehrfachausstellung von TGT zu zeigen und dass diese Authentifizierungswege durch Shortcut-Trust zwischen Account- und Resource-Domäne verkürzen kann. Auch die Gruppenmitgliedschaft und Gruppentypen beeinflussen die Größe des Access Token und somit das PAC Feld (Privilege Attribut Certificate) eines Kerberos TGT.  Die Kerberos Mutual Authentication verlangt, dass Computerkonten bzw. Dienstkonten die sog. Service Principal Name (SPN) registrieren. Virtual Instanzen z.B. vom Failover Cluster müssen wegen der Mutual Authentication "virtuelle Computerkonten" in AD besitzen um u.a. SPN registrieren zu können. Die korrekte Implementierung und Anwendung von Kerberos wird von verschiedenen Faktoren beeinflusst, wie beispielsweise DNS, Ticketlaufzeiten, SPNs, Delegierung, Impersonation etc. Nur wenn alle betroffenen Komponenten einwandfrei in einander greifen ist eine Authentifizierung über das Kerberosprotokoll sicher gestellt. Eine "kerberos-fähige" Anwendung wie z.B. SharePoint 2007 arbeitet standardmäßig nur mit NTLM, wenn diese nicht extra für die Kerberos Authentifizierung korrekt konfiguriert wird.
Kerberos Tickets können delegiert werden. Durch sog. "Constrained Delegation" kann der Delegierungszweck (z.B. nur für CIFS) fein ausgewählt werden. Neben Constrained Delegation gehört die sog. Protocol Transition zu den Kerberos Extension für "kerberized" Anwendungen, die wir im Kurs auch kennenlernen.
Das Auditing von Domänen- und Netzwerkanmeldungen liefert Ereignisse zu Kerberos- und NTLM-Authentifizierung, die wir analysieren lernen. Dadurch können Ursachen bei Fehlanmeldungen und "Zwang-NTLM-Anmeldungen ermittelt werden. NTLM-Blocking Richtlinien können bei 2008 R2 Servern aktiviert werden um "undichte" Anwendungen, die statt Kerberos nur NTLM-Authentifierung nutzen, zu lokalisieren.
Ziel des Kurses ist, dass Teilnehmer ein solides Wissen über Kerberos V5 in einem Active Directory Umgebung bekommen und auch in die Praxis umsetzen können, um die Gesamtsicherheit von Active Directory und Anwendungen zu erhöhen. Praktische Übungen und Demo runden dieses Wissen ab (abhängig von Teilnehmerwünschen und verfügbarer Zeit):
- Analysieren, warum eine Anwendung nicht Kerberos, sondern das NTLM-Protokoll nimmt?
- Konfigurieren von Constrained Delegation
- Konfigurieren von SharePoint 2007 für Kerberos-Authentifizierung für eine Webseite.
- Analysieren der Benutzer-/Computer-Authentifizierung an einem 2008 R2 RODC (Read-Only-Domain Controller) --> Optional.
- Analysieren von Encryption Type unterschiedlicher Kerberos Clients (XP, VISTA, Windows 7 etc...).
- Konfigurieren eines OpenSUSE Client als Kerberos V5 und SMB-Client für die Aufnahme in AD.
- Weitere Übungen.
Dieser Kurs wird durch die Kurse PKI2008-R2, ADS2008, AdvADS sowie SEC2008R2 ergänzt.

Kerberos V5
Cerberus
Kerberos Authentifizierung am RODC
Kerberos Authentifizierung am 2008 R2 RODC
ZIELGRUPPE
Enterprise und Domain Administratoren, IT-Sicherheitsbeauftragte, Security Auditoren und Controlling bzw. IT-Revisoren.
KOMPLEXITÄTSGRAD  
Hohe Komplexität (Stufe 5 von 5).
VORAUSSETZUNG
Kenntnisse in Windows und Netzwerk  Security.
Erfahrung mit Active Direcrtory.
TEILNEHMERURTEIL
Sie können sich durch Teilnehmerurteile von unserer hohen Qualität überzeugen.
ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein wertvolles Zertifikat von NT Systems.
DAUER - GEBÜHR - BUCHUNG
 Dauer: 3 Tage
Böblingen Vor-Ort-Schulung
02.03. - 04.03.2010 (ausgebucht)
18.05. - 20.05.2010
24.08. - 26.08.2010 (fällt aus)
03.11. - 05.11.2010		 Wegen der komplexen Hardwareausstattung wird dieser Kurs nur bei uns angeboten.
 Preis: 2.250,- €  zzgl. Mwst.   inkl. Mittagessen (10,- € /Tag)
Schulungstermine / Schulungsanmeldung  - Trainingsumgebung
INHALT
  • 1. Block: Windows Authentication - Ein Überblick
    • Interaktive und Netzwerkanmeldung
    • Winlogon, LogonUI und Credential Providers
    • Die SSP/SSPI-Architektur (SSP Interface), Kerberos SSP sowie Negotiate SSP (Security Service Provider).
    • Die Authentication Packages
    Credential Providers - VISTA, Windows 7, 2008 R2
    Credential Providers - VISTA, Windows 7, 2008 R2
  • 1. Block: Kerberos V5 Einführung
    • Grundlagen von Kerberos V5
    • Authentifizierung (AS) und Autorisierung (TGS) mit Kerberos
    • Die Physische Struktur von Kerberos
    • Symmetric Session Key und Master Keys.
    • Authenticator und PAC-Feld
    • Limitierung des Accesstoken durch Gruppenmitgliedschaften
    Kerberos-Preauthentication PADATA
    Kerberos-Preauthentication PADATA
  • 2. Block: DC-Locator und Kerberos
    • Das Auffinden des nächsten Domaincontrollers (DC-Locator)
    • Kerberosframes beim Locatorprozess
    • Kerberos-SRV-Einträge
    • Gewichtung und Priorität zur Redundanz und Lastverteilung der AS und KDCs
    • Sitecoverage mit Kerberos
    Ermittlung des nächsten DC (KDC) - DC-Locator Prozess
    Ermittlung des nächsten DC (KDC) - DC-Locator Prozess
    Kerberos TGTs im Forest und Trusted Forest - Shortcut Trust
    Kerberos TGTs im Forest und Trusted Forest - Shortcut Trust
  • 3. Block: Kerberos Internals
    • Kerberos Designmerkmale
    • Session Keys (Short-Term), Master Keys (Long-Term)
    • Das Konto Krbtgt
    • Encryptiontypes von Kerberos
    • Preauthentication: KRB_AS_REQ und KRB_AS_REP im Detail betrachtet
    • TGS: KRB_TGS_REQ und KRB_TGS_REP - Messagecontent
    • Delegierungsmodelle durch Proxy- und Forward-Tickets (constrained delegation)
    • Gruppenmitgliedschaften und die Auswirkung auf das PAC-Feld
    • Mutual authentication und SPNs.
    KDCOptions (Flags)
    KDC Options (Flags)
    KRB_TGS_REQ (supported Encryption Types) von Windows 7 / 2008 R2
    KRB_TGS_REQ (supported Encryption Types) von Windows 7 / 2008 R2
    Konfigurieren von "supportedencryptiontypes"
    Konfigurieren von "supported encryptiontypes"
  • 4. Block: Kerberos Logging und Auditing
    • Kerberos-Logging
    • Auditing unter Server 2008 R2 - Category und Subcategories
    • Advanced Audit Policy Configuration (AAPC)
    • Audit Logon Events vs. Audit Account Logon Events
    • Audit Kerberos Authentication Service
    • 2008 R2 NTLM-Blocking Richtlinien
    • Kerberos Failure Codes
    • Auswerten der Events mit PowerShell V2
    Kerberos Auditing
    Kerberos Auditing
    Kerberos Error --> Encryption Type not supported
    Kerberos Error --> Encryption Type not supported
  • 5. Block: Smart Card Anmeldung
    • Logon mit Smart Card Credential Provider
    • PKINIT (Public Key for Initial Authentication)
    • Auswerten der Logon-Events einer Smart Card Anmeldung
    Cracken von Pre-Authentication Data (PaData)
    Cracken von Pre-Authentication Data (PaData)
  • 6. Block: Anbinden von OpenSuSE11.2
    • Linux und Kerberos Authentifizierung
    • PAM-Module / pam.d
    • krb5.conf
    • wbinfo -u
    • Installation und Konfiguration von SAMBA - smb.conf
    • SSO mit ADS-Konten auf dem SAMBA-Server
    krb5.conf
    krb5.conf
    Join Kerberos Realm
    Join Kerberos Realm
  • 7. Block: Praktische Übungen bzw. Demo
    • Benutzer- und Computer-Authentifizierung am RODC (Optional - wenn erwünscht)
    • Office SharePoint Server 2007 SP2
    • Constrained Delegation
    SPN für Application Pool Account
    SPN für Application Pool Account
    Shares Services Konfiguration
    Kerberos Ticket bei Zugriff auf die Website
- Vertrauen Sie unserer Kompetenz -
[ Home | Intensivkurse | IT-Consulting | Aktuelles | Wir über uns | Partner | Unsere Kunden | Kontakt/Wegweiser | Hotels/Allgemeines | Termine/Anmeldung ]
© 1994-2010 NT SYSTEMS, Dipl.-Ing. T. Pham, Wilhelmstraße 33, D - 71034 Böblingen
    Tel  +49 (0) 7031 23 09 32  -  Fax  +49 (0) 7031 2342 10    www.ntsystems.de