NT SYSTEMS
NETWORK TECHNOLOGY SYSTEMS
PROFESSIONELLE SCHULUNG - WINDOWS SERVER - ACTIVE DIRECTORY - EXCHANGE - SYSTEM CENTER - SCCM - SCVMM - SCOM - FAILOVER CLUSTER - PKI - KERBEROS - APP-V - HYPER-V - RDS - vSPHERE
Home
Intensivkurse

PowerServer I: Windows Server 2012 & WDS (mit WADK)
PowerServer II: Server Security & Advanced Administration
Group Policy Administration

Public Key Infrastructure (PKI)
Kerberos V5

Active Directory 2012
Advanced ADS 2012 / 2008 R2

SQL Server 2012

Failover Cluster 2012

Remote Desktop Services
2008 R2

VMware vSphere 5.0

Configuration Manager 2012
Virtual Machine Manager 2012
Operations Manager 2012

Exchange Server 2013
Advanced Exchange HA (Exchange 2013)
Advanced Exchange Disaster Recovery (Exchange 2010)

IT-Consulting
Aktuelles
Wir über uns
Partner
Unsere Kunden
Trainer - Jobs
Kontakt/Wegweiser
Anmeldung
Intensivkurs PowerServer II Aktualisiert  06.05.2013

Advanced Administration Windows Server 2012 & 2008 R2
- Secure Channel - SMB Internals - Firewall - WMI - DCOM - RPC - BitLocker - UAC - WMIC -

SCHULUNGSZIEL
Der Fokus dieses "Advanced" Intensivkurses ist die Tiefe von Windows Server 2008 R2 und besonders Windows Server 2012 zu erforschen. Es geht dabei vorwiegend um die Serversicherheit und um wichtige Protokolle, die unter Windows bei fast allen Anwendungen eingesetzt werden. Der Kurs ist von erfahrenen Serveradministratoren für die Kollegen konzipiert, die einen Windows Servers näher verstehen möchten.
Dieser Intensivkurs ergänzt den PowerServer-I Kurs, setzt diesen jedoch nicht voraus, da viele Themen wie RPC, DCOM, WMIC und SMB-Internals etc.. erst in diesem Kurs behandelt werden. Mit Windows Server 2012 wurde die neue Version SMB 3.0 eingeführt, die die Serverlandschaft stark verändert. Daher haben wir beschlossen, SMB als neuer Schwerpunkt in diesen Kurs aufzunehmen.
Im ersten Block beschäftigen wir uns mit dem Secure Channel, also auch mit dem Beitritt eines Windows Servers in die Domäne. Jede Windows Maschine als Member einer Domäne unterhält einen sog. Secure Channel mit einem Domänencontroller, dessen Aufbau bei dem Domänenbeitritt wir im Kurs untersuchen. Detailliertes Wissen über den Secure Channel ist für jeden Serveradministrator ein MUSS, denn er hat sehr viel mit der Serversicherheit und NETLOGON zu tun. Das Computerpassword spielt bei der Sicherheit eine sehr große Rolle, da diverse Verschlüsselungskeys daraus abgeleitet werden. Beispielsweise wird der sog. Master Key (Long-Term Key) für die RC4-HMAC Verschlüsselung der Kerberos Pre-Authentication Daten (Padata) aus dem Computerpassword abgeleitet. Auch der Session Key für den Aufbau des Secure Channels zwischen einem Client und seinem Anmelde-DC wird aus dem Computerpassword errechnet. Wir lernen das Computerpassword zu ändern um zu simulieren, wann ein Secure Channel "broken" ist und wie er repariert werden kann. Ein Serveradministrator sollte außerdem die lokale SAM Datenbank und Active Directory NTDS Datenbank kennen, um die verschlüsselt gespeicherten Password-Hash (LM und NTLM) zu lokalisieren.
Im zweiten Block werden die Remote Zugriffe auf die Serverressourcen analysiert, die bei einem "geschützten" Windows 2012 Server mehrere Hürden passieren müssen, um auf die unterschiedlichen Ressourcen gelangen zu können: --> Verbindungssicherheit (IPSec) --> Firewall --> RPC --> DCOM-Sicherheit --> WMI-Sicherheit & User Account Control (UAC) --> NTFS & Share Berechtigung.
Die neue Windows Firewall with Advanced Security (WFAS) integriert die Firewall mit IPSec und AuthIP. WFAS kann somit Benutzer- bzw. Computer-Authentifizierung per Kerberos vor einem Zugriff durchführen. Wir nutzen diese sog. "Domain Isolierung" als äußerster Sicherheitsgrenze, um 2012 Server vor "fremden" Zugriffen zu schützen. Ein Zugriff auf eine Ressource verlangt i.d.R. immer eine Authentifizierung, ein Impersonation Level Privileg und letztendlich eine Autorisierung durch Berechtigungen. WMI-Namespaces werden durch Security Descriptoren geschützt, dass nicht jeder auf deren WMI-Objektklassen und somit Daten zugreifen können. Zu den zu schützenden Systemressourcen sind auch die DCOM-Objekten, die eigene Security Descriptoren besitzen und somit eine Autorisierung von RPC-Zugriff verlangen. RPC (Remote Procedure Call) ist in der Windows-Welt immer noch der mächtigste und meist eingesetzte Interprozess-Kommunikation Mechanismus. Der RPC-Client baut eine Verbindung mit einem RPC-Server auf, indem er einen RPC-Binding String (RPC-Protokoll, UUID der Anwendung...) dem RPC-Server übermittelt. Der RPC-Port Mapper (Port 135) sorgt dafür, dass der Client den Serverport des RPC-Interfaces (Serveranwendung) findet. Jenach Sicherheitsanforderung muss das geforderte RPC-Authentication Level vom Client erfüllt werden. Parallel zu RPC lernen wir, wie Remote Zugriffe mit WinRM/WinRS via HTTPS (WS-Management) und PowerShell (PS-Session) durch Firewall konfiguriert werden können.
Im dritten Block geht es um den neuen Themenschwerpunkt SMB (Server Message Block). In Windows 8 und Windows Server 2012 ist die neue Version SMB 3.0 implementiert, mit der die Performance von Zugriff auf einen File Server erheblich gesteigert wird. Während im Kurs PowerServer-I das neue Feature SMB-Multichannel ausführlich behandelt wird, befassen wir uns in diesem Kurs mehr mit der SMB-Sicherheit, SMB-Internals und vor allem SMB-Performance. D.h. wie der Zugriff vom SMB-Client (LanmanWorkstation) auf einen Windows 2012 File Server (LanmanServer) mit oder ohne SMB-Multichannel optimiert werden kann.
Es ist aber dazu notwendig die verschiedenen SMB-Versionen und deren Zusammenarbeit kennenzulernen.
- CIFS 1.0 Windows NT 4.0
- SMB 1.0 Windows 2000, XP, 2003
- SMB 2.002 Windows VISTA, Server 2008
- SMB 2.1 Windows 7, Server 2008-R2
- SMB 3.0 Windows 8, Server 2012 SMB-Multichannel, SMB-Direct (RDMA), SMB-Encryption
Durch Sniffen mit dem Netzwerkmonitor werden wir den SMB-Datenverkehr zwischen diversen SMB-Client und Windows 2012 File Server analysieren, um folgende SMB-Themen zu studieren:
- SMB-Negotiation Aushandlung zwischen Client und Server, um auf eine gemeinsame Konfiguration (SMB-Dialekt, Cache Buffer, etc..) zu einigen.
- SMB-Signing Digital Signierung von SMB-Paket gegen Fälschung und Man-In-the-Middle Attack (Algorithmen MD5, HMAC SHA-256, AES-CMAC)
- SMB-Encryption Verschüsselte SMB 3.0 Kommunikation zwischen Windows 8 und Windows 2012 File Server (Freigabe-Level oder Server-Level)
- SMB-Multichannel Hochverfügbarkeit und Kanalbündelung für die Kommunikation zwischen Windows 8 und Windows 2012 File Server
Im vierten Block praktizieren wir mit BitLocker Domain Controller gegen "Cold Start" Angriff zu schützen. Im Zusammenspiel mit dem TPM-Chip des Rechners hilft BitLocker nicht nur die gesamte Betriebssystem-Partition C:\ verschlüsselt, sondern auch die gesamte Bootstrecke gegen Veränderung zu schützen. BitLocker Unlock und Recovery Methoden mit Hilfe von Active Directory sorgen dafür, dass BitLocker in einer Enterprise Umgebung zentral verwaltbar ist.
Im fünften Block wird das Thema Event Instrumentation und Event Tracing und somit auch um WMI (Windows Management Instrumentation) behandelt. Informationen über Hardware und Betriebssystem können statisch (CIM-Datenbank) oder dynamisch durch WMI-Provider abgefragt werden. Events und Event Traces werden durch Zustandsänderungen von diversen Event-Providern erzeugt. Beispielsweise schreiben mehrere WMI-Provider die Sicherheitsereignisse in den Security-Log. Überwachungssysteme wie System Center Operation Manager (SCOM) nutzen u.a. WMI-Daten (Namespaces, Provider, Classes) und Events sowie Event Traces um die Funktionalität einer Systemkomponente oder des Gesamtsystems zu überwachen. Auditing und andere Events können mit sog. XPath Filter fein durchsucht und aufgelistet werden. Mit der neuen ETW (Event Tracing for Windows) Technologie können nicht nur Events (*.evtx), sondern auch Trace (*.evtl) von diversen Event-Providern wie. z.B. NT Kernel Logger erzeugt und analysiert werden. Auch die Sicherheit der Eventlogs kann modifiziert werden, sodass beispielsweise neben den Administratoren auch die Gruppe Security-Auditoren auf die Security Logs zugreifen können.
Im sechsten Block kümmern wir uns um die Windows Server 2012 Services, dazu gehören Service Hardening, Triggered Services sowie die speziellen Service-Berechtigungen und wie diese in SDDL (Security Definition Description Language) konfiguriert werden können.
Optional: Wenn die Zeit zulässt, möchten wir die Themen UAC (User Account Control) & Virtual Store sowie WIC (Windows Integrity Control) auffrischen, die zum Teil im Kurs PowerServer-I behandelt werden.
Wir empfehlen als Ergänzung auch die Kurse PowerServer-I , KERBEROS und PKI2012 zu besuchen.
Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit der gewünschten Sprachversion mit. Wir dürfen keine Volume License für Kurse nutzen!

Windows Start Up - Secure Channel
Windows Start Up - Secure Channel
Windows Server Sicherheitszonen (Live im Kurs)
Windows Server Sicherheitszonen (Live im Kurs)
Server Massage Block - SMB 3.0
Server Massage Block - SMB 3.0
ZIELGRUPPE
Serveradministratoren, Support-Ingenieure, Domänenadministratoren, IT-Sicherheitsbeauftragte, Security Auditoren bzw. IT-Revisoren.
KOMPLEXITÄTSGRAD  
Ziemlich komplex (Stufe 5 von 5).
VORAUSSETZUNG
Erfahrung mit Windows Server 2003 und Windows Server 2008.
Oder Besuch des Intensivkurses PowerServer I
Kenntnisse in Windows Security ist von Vorteil.
TEILNEHMERURTEIL
Sie können sich durch Teilnehmerurteile von unserer hohen Qualität überzeugen.
ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein wertvolles Zertifikat von NT Systems.
DAUER - GEBÜHR - BUCHUNG
 Dauer: 4 Tage
Böblingen Vor-Ort-Schulung
22.10. - 25.10.2012
11.03. - 14.03.2013
17.06. - 20.06.2013		 Wegen der komplexen Hardwareausstattung und Vorbereitung wird dieser Kurs nur bei uns angeboten.

Mindestteilnehmerzahl: 3
 Preis: 2.750,- €  zzgl. Mwst.   inkl. Mittagessen (12,- € /Tag)
Schulungstermine / Schulungsanmeldung  - Trainingsumgebung

INHALT
1. Block: Secure Channel & Netlogon - Computer Passwort
  • Secure Channel & Computerpassword
    • Aufbau des Secure Channels
    • Maschinenpassword und Session Key Negotiation
    • Testen des Secure Channels
    • "Broken" Secure Channel - Reset Secure Channel
    • Ändern des Computerpasswords
    Secure Channel Test & Reset
    Secure Channel Test & Reset
  • Password
    • Wann und wo wird ein Password genutzt?
    • LM Hash und NT Hash
    • Credential Cache
    • Benutzer-und Maschinen-Password
    • Cracken von Passwörtern (Local, Domain)
    • Password-Richtlinien
    • Übung Password-Crack Tools
    Ermittlung des Computerpasswordalters (NT-Zeit)
    Ermittlung des Computerpassword-Alters (NT-Zeit)
    Uhrzeit der falschen Password-Eingabe
    Uhrzeit der falschen Password-Eingabe
    Abfangen von Password Hash
    Abfangen von Password NT-Hash
    Password Crack
    Password Crack
2. Block: Zugriffe auf Windows Server Ressourcen
  • Windows Firewall with Advanced Security (WFAS)
    • Host-Firewall und AuthIP-Erweiterung mit User Authentication
    • Was ist Network Location Awareness (NLA)?
    • NLA und Firewall Profile: Domain, Privat, Public
    • Inbound & Outbound Rules
    • IPSec Domain Isolierung
    • Übung Domain Isolierung & Firewall
    Domain Isolierung
    Domain Isolierung
    Authentifizierungsregel - Inbound
    Authentifizierungsregel - Inbound
    Authentifizierungsmethode - Kerberos
    Authentifizierungsmethode - Kerberos
  • RPC und DCOM Security
    • Microsofts RPC (MSRPC) - RPC Client und Server
    • UUID und End Point Mapper
    • Named Pipes und RPC Endpoints
    • RPC Authentication und Impersonation Level
    • DCOM over RPC
    • DCOM/RPC- Impersonation Level
    Server Security & Advanced Administration
    Server Security & Advanced Administration
    Firewall Inbound Rules - DCOM-In
  • WMI Security
    • WMI nutzt DCOM
    • WMI Namespace Security
    • WMI Provider und Class
    • Arbeiten mit PowerShell und WMI-Objekte
    Sicherheit von WMI-Namespaces
    Sicherheit von WMI-Namespaces
    Ermittlung des WMI-Namespace Root\CIMv2 Securitydescriptors
    Ermittlung des WMI-Namespace Root\CIMv2 Securitydescriptors
    WMI-Namespace Securitydescriptor
    WMI-Namespace Securitydescriptor
  • WinRM/WinRS over HTTPS
    • WS-Management und WinRM
    • Remote Administration mit WinRM
    • Einrichten von HTTPS-Listener
    • Übung Arbeiten mit WinRM over HTTPS
    Remote Administration von 2008 R2 Server mit WinRS / WinRM über HTTPS
    Remote Administration mit WinRS / WinRM über HTTPS durch Firewall
3. Block: SMB (Server Message Block): Negotiation, Signing, Encryption, Multichannel, Tuning
  • SMB Negotiation - CIFS, SMB 1.0, SMB 2.0, SMB 3.0
    • LanmanWorkstation, Mini-Redirector MrxSmb10.sys, MrxSmb20.sys
    • LanmanServer und Kernel-Treiber srv.sys, srv2.sys
    • SMB_COM_NEGOTIATE - Aushandlung zwischen SMB-Client und SMB-Server
    • SMB Dialekte: NT LM 0.12, SMB 1.0, SMB 2.002, SMB 2.1, SMB 3.0 (alias 2.24)
    • SMB 3 Secure Dialect Negotiation: RequireSecureNegotiate
    • Austausch der Parameter: Flags, Flags2, SecurityFeatures, Capacity etc.
    SMB 1.0 Negotiate - Windows XP / Windows Server 2012
    SMB 1.0 Negotiate - Windows XP / Windows Server 2012
    SMB 2.0 Negotiate - Windows Vista / Windows Server 2012
    SMB 2.0 Negotiate - Windows Vista / Windows Server 2012
    SMB 3.0 "secure" Negotiate - Windows 8 / Windows Server 2012
    SMB 3.0 "secure" Negotiate - Windows 8 / Windows Server 2012
  • SMB Signing
    • SMB-Signing zwischen Clients und Domain Controller - SYSVOL-Authentizität
    • Group Policy für SMB-Signing
    • EnableSecuritySignature, RequireSecuritySignature
    • Die Hash-Algorithmen: MD5, HMAC-SHA256, AES-CMAC-128
    • SMB Flags2 - Security Signature
    DC (SMB Server) Policy
    DC (SMB Server) Policy
    Signierte SMB Pakete von Group Policy
    Signierte SMB Pakete von Group Policy
  • SMB Encryption
    • Verschlüsselter SMB-Transport zwischen Windows 8 Client und Windows 2012 File Server
    • Aktivieren Encryption auf Freigabe- und Server-Ebene
    • Encryption Algorithmus AES-128-CCM
    • Zugriff von Windows 7 möglich?
    SMB 3.0 Encryption auf Freigabe
    SMB 3.0 Encryption auf Freigabe
    SMB-Freigabe ohne Verschlüsselung -> Klartext
    SMB-Freigabe ohne Verschlüsselung -> Klartext
  • SMB Multichannel
    • SMB-Session und SMB-Connections (Channels)
    • RSS Receive Side Scaling
    • Multichannel und Bandbreitenbündelung
    SMB 3.0 Multichannel mit 2 NICs (ohne RDMA)
    SMB 3.0 Multichannel - Windows 8 mit 2 NICs (ohne RDMA)
  • SMB Tuning
    • Tuning Parameter für Server und Clients
    • High-Speed Windows 2012 File Server
    • MaxBufferSize vs. Large Read / Large Write
4. Block: BitLocker mit TPM - Schutz Domain Controller vor "Cold Start"
  • BitLocker OS Drive - USB-Stick
    • BitLocker Technologie mit und ohne TPM
    • TPM Konfigurieren
    • Vorbereiten der Sicherheitsmassnahmen für BitLocker von Betriebssystempartition
    • TPM Owner Password in AD speichern
    • Arbeiten mit Unlock und Recovery Methoden
    • Data Recovery Agent
    • BitLocker für Fixed Drive und BitLocker To Go für USB-Stick
    • BitLocker Übungen mit TPM+PIN und OS Drive
    • Arbeiten mit PowerShell und WMI-Namespace MicrosoftVolumeEncryption
    BitLocker OS Drive mit TPM
    BitLocker OS Drive mit TPM
5. Block: Event Tracing - XPath - Auditing
  • Event Instrumentation - Event Tracing
    • Windows Eventing Model (EVT)
    • Classic Event Logs und Crimson-Channel Events
    • Event Tracing for Windows (ETW) und ETW Providers
    • Windows Event Level
    • XML-Event Filter, Event XML-Dump
    • Query Event mit Filter in XPath manuell und mit Get-WinEvent
    • Event-basierte Benachrichtigung
    • Event Log Security
    Event-Provider des Security Logs
    Suchen von Events mit XPath-Filter
  • Auditing
    • ÜberÜberwachungsrichtlinien
    • Advanced Audit Policy, Audit Category und Subcategory
    • Auditpol.exe
    • Auswerten der Sicherheitsereignisse mit PowerShell V2 und V3
    • Übung Audit
    Advanced Audit Policy
    Advanced Audit Policy - Subcategory
    Force Subcategory Auditing
    Force Subcategory Auditing
6. Block: Service Hardening
  • Server Service Hardening
    • Service Konten: LocalSystem, LocalService, NetworkService
    • Service Control Manager (SC)
    • Service Security - SID & Privilegien
    • Access Token
    • SVCHSVCHOST-Prozess und Dienste
    • Service SID Type: Unrestricted und Write-Restricted
    • Service Isolation
    • Einschränken der Zugriffe und Privilegien von Service
    • Übung Härten von Service
    Privilegien einem 2008 Service zuweisen bzw. einschränken
    Privilegien einem Windows Server 2008 R2 Service zuweisen bzw. einschränken
    Write-Restricted Service
    Write-Restricted Service
    Zugriffberechtigung für Write-Restricted Service
    Zugriffberechtigung für Write-Restricted Service
7. Optional: UAC & Virtual Store - WIC - Alternative Data Stream (Wenn die Zeit zulässt!)
  • User Account Control (UAC) und Virtual Store
    • Administrator ist nicht gleich Administrator
    • Standard Users und Built-In Administrator
    • AAM (Administrator Approval Mode) und OTS (Over-The-Shoulder)
    • Manifest, Run-As-Administrator, Run-As-Different-User
    • UAC-Richtlinien
    • Virtual Store - Redirect File & Registry
    • Übung mit Virtual Store
    User Account Control und Virtual Store
    User Account Control und Virtual Store
    Manifest Level - highesAvailable
    Manifest Level - highestAvailable
    Virtual Store
    Virtual Store
  • Windows Integrity Control (WIC)
    • WIC und Mandatory Level
    • TrustedInstaller
    • NT Security Descriptor: DACL und SACL
    • SDDL (Security Definition Description Language)
    • Übung Verändern des WIC Levels mit Tools
    Windows Integrity Control Level - IE7 im Protected Modus
    Windows Integrity Control Level - IE7 im Protected Modus
    Windows Integrity Control - Mandatory Label - NoWriteUp - Medium
    Windows Integrity Control - Mandatory Label - NoWriteUp - Medium
    Windows Integrity Control Level - Trusted Installer
    Windows Integrity Control Level - Trusted Installer Service
  • Alternate Data Stream (ADS), Symbolic Link
    • Wie werden NTFS-Dateien als ADS versteckt?
    • Änderungen in NTFS, Laufwerke und Verzeichnisse
    • Symbolic Link
    • Übung ADS und Symbolic Links
    Versteckte Alternate Data Streams
    Versteckte Alternate Data Streams
- Vertrauen Sie unserer Kompetenz -
[ Home | Intensivkurse | IT-Consulting | Aktuelles | Wir über uns | Partner | Unsere Kunden | Kontakt/Wegweiser | Hotels/Allgemeines | Termine/Anmeldung ] Impressum ]
© 1994-2013 NT SYSTEMS, Dipl.-Ing. T. Pham, Wilhelmstraße 33, D - 71034 Böblingen
    Tel  +49 (0) 7031 23 09 32  -  Fax  +49 (0) 7031 2342 10    www.ntsystems.de