|
|
|
| Intensivkurs SEC2008-R2 |
Aktualisiert 28.02.2011 |
|
SEC 2008-R2
✮ Windows Server 2008 R2 Security ✮
|
|
SCHULUNGSZIEL
Der Fokus dieses Intensivkurses ist die Sicherheit von Windows Server 2008 R2,
die gegenüber
Windows Server 2003 durch neue Schutzmassnahmen stark erhöht wurde. Sie lernen im Kurs nicht nur die neuen Sicherheits-Features, sondern
auch diverse Methoden um einen 2008 R2 Server noch sicherer zu machen. Schwerpunkt des Kurses ist zwar nicht die Active Directory Sicherheit,
dennoch hat die Sicherheit von Windows Server in einer Domäne bzw. Forest sehr viel mit Active Directory zu tun. Daher muss zwangsläufig
auch die AD-Sicherheit betrachtet werden. Somit wird die Sicherheit von Active Directory durch Windows Server 2008 R2 Domain Controller
auch erheblich erhöht. In diesem Kurs setzen wir die neuesten Techniken ein, um die Sicherheit von Windows Server zu analysieren, zu konfigurieren und
zu überwachen.
Im ersten Block verschaffen wir uns einen Gesamtüberblick über die Sicherheitsinfrastruktur von Windows Server
2008 R2 im Hinblick auf die Schwerpunkte Authentifizierung und Autorisierung. Dazu gehören die Security Service Provider (SSP)
wie Negotiate und Kerberos sowie NTLM. Jeder Windows Maschine als Member einer Domäne unterhält einen sog.
Secure Channel mit einem Domänencontroller, dessen Aufbau bei dem Domänenbeitritt wird etwas genauer untersuchen.
Detailliertes Wissen über den Secure Channel ist für jeden Serveradministrator ein MUSS, denn er hat sehr viel mit der
Serversicherheit zu tun.
Im zweiten Block sind wir als Häcker unterwegs, um diverse Sicherheitslücken zu
entdecken. Wenn Smart Card nicht zum Einsatz kommt, ist das Password das "Tor zur Welt". Mit Man-In-The-Middle Attack Tools
können u.a. schwache Passwörter schnell gecrackt werden. Die lokale SAM Datenbank und NTDS Active Directory Datenbank liefern aller
Passwörter (Hash). Auch können Server durch Enumerieren viele Geheimnisse verraten. Wir lernen auch, dass nicht jede Authentifizierung in einer Domäne
mit Kerberos-Tickets arbeitet. Ein "Failback" von Kerberos zu NTLM verbirgt die Gefahr, dass NT-Hash verraten wird. Das
Computerpassword spielt bei der Sicherheit eine sehr große Rolle, da diverse Verschlüsselungskeys daraus abgeleitet werden.
Beispielsweise wird der sog. Master Key (Long-Term Key) für die RC4-HMAC Verschlüsselung der Kerberos Pre-Authentication
Daten (Padata) aus dem Computerpassword abgeleitet. Auch der Session Key für den Aufbau des Secure Channels zwischen dem
Client (2008 R2 Server) und seinem Anmelde-DC wird aus dem Computerpassword errechnet. Wir lernen wie man das Computerpassword
ändern kann und vor allem wie ein "broken" Secure Channel neu aufgebaut werden kann.
Im dritten Block werden die neuen Sicherheitstechniken von Windows Server 2008 R2 studiert. Dazu gehören u.a. die UAC
(User Account Control), die Virtual Store Technik, WIC (Windows Integrity Control). Windows Server 2008
R2 Services werden von Haus aus durch neue Service Hardening Techniken gut geschützt, die wir ziemlich in Details kennenlernen werden. Die neue
Windows Firewall with Advanced Security (WFAS) integriert Firewall mit IPSec und AuthIP und kann sogar eine Benutzer- bzw.
Computer-Authentifizierung per Kerberos vor einem Zugriff durchführen. Wir nutzen diese sog. "Domain Isolierung" um einen 2008
Server noch besser zu schützen und zu härten.
Im vierten Block werden die bewährten Tools wie SCW (Security Configuration Wizard), Security Configuration & Analysis
(SCA) eingesetzt, um die Sicherheit eines Windows Server 2008 und R2 zu analysieren, zu konfigurieren und Sicherheitsrichtlinien zu erzeugen. Mehrere Server können
so durch die Sicherheitsrichtlinien gehärtet werden. Ganz neu (seit April 2010) ist das Security Compliance Manager von
Microsoft, mit dem man zentral die Sicherheitsvorlagen *.cab verwalten und konfigurieren kann. Die Remote Administration von DMZ-Servern durch die Firewall hindurch
basiert auf dem neuen WS-Management (Web Service). Windows Remote Management mit WinRM / WinRS nutzt entweder HTTP oder in diesem Fall HTTPS.
Windows 2008 R2 Server bzw. Server Core können so geschützt remote verwaltet werden, ohne diverse RPC-Ports an den Firewalls öffnen zu müssen.
BitLocker Drive Encryption und USB-Richtlinien tragen dazu bei, dass besonders Wechselmedien an einem Windows Server geschützt bzw. verschlüsselt werden.
Im fünften Block wird das Auditing im Detail behandelt. Neue feinere Audit-Subcategories von Windows Server 2008
R2 erlauben präziseres Auditing gegenüber 2003. Nur relevante Sicherheitsereignisse werden erzeugt. Dennoch kann ein effektives
Auditing in einer Enterprise Umgebung nur durch ein zusätzliches Überwachungstool wie z.B. SCOM 2007 (System Center Operationsmanager) betrieben werden.
Wenn die Zeit zulässt, zeigen wir wie das Zusammenspiel von SCOM 2007 ACS (Audit Collector Server) und Agents auf den Windows Servern
funktioniert und wie die in der SQL-Datenbank gesammelten Audit-Daten per SQL-Reports schnell präsentiert und interpretiert werden können.
Zum Schluß wird eine Checklist für die Serversicherheit gemeinsam erarbeitet, die jeder Teilnehmer nach dem Kurs nutzen kann.
Bemerkung: Der Vorgänger dieses Intensivkurses ist der SEC2003 (Windows Server 2003). Es liegen mindestens 5 Jahre Innovation dazwischen.
Microsoft hat einiges getan, um die Windows Serversicherheit massiv zu erhöhen. Wir wollen Ihnen mit diesem neuen Intensivkurs nicht nur
einen Gesamtüberblick über die komplexe Sicherheitsthematik geben, sondern in der kurzen Zeit auch einige moderne Methoden mitgeben,
wie Sie Ihre Windows Server noch sicherer machen können.
Dieser Kurs wird durch die Kurse PowerServer, SCOM2007,
PKI2008-R2, ADS2008 sowie AdvADS ergänzt.
 |
|
| Windows Start Up - Secure Channel |
ZIELGRUPPE
Serveradministratoren, Support-Ingenieure, Domänenadministratoren, IT-Sicherheitsbeauftragte, Security Auditoren und Controlling bzw. IT-Revisoren.
KOMPLEXITÄTSGRAD
Mittlere Komplexität (Stufe 4 von 5).
VORAUSSETZUNG
Kenntnisse in Windows und Netzwerk Security.
Erfahrung mit Windows Server 2003 ist von Vorteil!
TEILNEHMERURTEIL
Sie können sich durch Teilnehmerurteile von unserer hohen Qualität überzeugen.
ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein wertvolles Zertifikat von NT Systems.
DAUER - GEBÜHR - BUCHUNG
| Dauer: 3 Tage |
| Böblingen |
Vor-Ort-Schulung |
Keine weitere Termine!
Dieser Kurs wird erweitert und in den geplanten PowerServer II integriert. (Herbst 2011)
|
|
|
| Preis: 2.250,- € zzgl. Mwst. |
inkl. Mittagessen (10,- € /Tag) |
|
|
INHALT
1. Block: Überblick - Windows Server 2008 R2 Security
- Überblick
- Neue Sicherheitstechniken gegenüber 2003 Server
- Änderungen in Authentifizierung & Autorisierung
- Sicherheit und Virtualisierung
- Server Core, Read-Only Domain Controller (RODC)
- AppLocker (2008 R2) bzw. Software Restriction Policy (SRP)
- etc.
|
 |
|
| Windows 7 & Windows Server 2008 R2 - AppLocker |
- Windows Server Sicherheitskomponenten
- Übersicht über die Windows 2008 R2 SSPs
- Local und Domänenlogon
- Negotiate, NegoEx, Kerberos und NTLM
- Winlogon, Netlogon, Credential Providers
- Security Internals, Password, Sam etc..
|
 |
|
 |
|
| Ermittlung des Computerpasswordalters (NT-Zeit) |
|
 |
|
| Uhrzeit der falschen Password-Eingabe |
2. Block: Sicherheitslücken & Hacking & Cracking
- Password
- Wann und wo wird ein Password genutzt?
- LM Hash und NT Hash
- Credential Cache
- Benutzer-und Maschinen-Password
- Cracken von Passwörtern (Local, Domain)
- Password-Richtlinien
- Übung Password-Crack Tools
|
 |
|
| Abfangen von Password Hash |
|
 |
|
| Password Crack |
- Secure Channel & Computerpassword
- Aufbau des Secure Channels
- Maschinenpassword und Session Key Negotiation
- Testen des Secure Channels
- "Broken" Secure Channel - Reset Secure Channel
- Ändern des Computerpasswords
|
 |
|
| Secure Channel Test & Reset |
- NTFS, Alternate Datastream (ADS), Symbolic Link
- Wie werden NTFS-Dateien als ADS versteckt?
- Änderungen in NTFS, Laufwerke und Verzeichnisse
- Symbolic Link
- Übung ADS und Symbolic Links
|
 |
|
| Versteckte Alternate Data Streams |
3. Block: Neue Sicherheitstechniken
- Windows Firewall with Advanced Security (WFAS)
- Host-Firewall und AuthIP Erweiterung mit User Authentication
- Firewall Profile: Domain, Privat, Public
- Inbound & Outbound Rules
- IPSec Domain Isolierung
- Übung Domain Isolierung & Firewall
|
 |
|
| Domain Isolierung |
|
 |
|
| Authentifizierungsregel - Inbound |
|
 |
|
| Authentifizierungsmethode - Kerberos |
- User Account Control (UAC) und Virtual Store
- Administrator ist nicht gleich Administrator
- Standard Users und Built-In Administrator
- AAM (Administrator Approval Mode) und OTS (Over-The-Shoulder)
- Manifest, Run-As-Administrator, Run-As-Different-User
- UAC-Richtlinien
- Virtual Store - Redirect File & Registry
- Übung mit Virtual Store
|
 |
|
| User Account Control und Virtual Store |
|
 |
|
| Manifest Level - highesAvailable |
|
 |
|
| Virtual Store |
- Windows Integrity Control (WIC)
- WIC und Mandatory Level
- TrustedInstaller
- NT Security Descriptor: DACL und SACL
- SDDL (Security Definition Description Language)
- Übung Verändern des WIC Levels mit Tools
|
 |
|
| Windows Integrity Control Level - IE7 im Protected Modus |
|
 |
|
| Windows Integrity Control - Mandatory Label - NoWriteUp - Medium |
|
 |
|
| Windows Integrity Control Level - Trusted Installer |
- Server Service Hardening
- Service Konten: LocalSystem, LocalService, NetworkService
- Service Control Manager (SC)
- Service Security – SID & Privilegien
- Access Token
- SVCHOST-Prozess und Dienste
- Service SID Type: Unrestricted und Write-Restricted
- Service Isolation
- Einschränken der Zugriffe und Privilegien von Service
- Übung Härten von Service
|
 |
|
| Privilegien einem 2008 Service zuweisen bzw. einschränken |
|
 |
|
| Write-Restricted Service |
|
 |
|
| Zugriffberechtigung für Write-Restricted Service |
4. Block: Analysieren & Absichern
- Security Policy - Security Configuration Wizard (SCW)
- Analysieren der Serverinstallation mit SCW, Scwcmd und MBSA
- Security Templates für Windows Server 2008
- Security Configuration & Analysis (SCA)
- Role-Based Policies
- Erzeugen der Sicherheitsrichtlinien für GPO
- Übung SCW, Sicherheitsvorlagen, SCA
|
 |
|
| Analysieren und Konfigurieren der Serversicherheit mit SCW |
- Windows Server 2008 R2 Sicherheitsrichtlinien
- Lokale und Gruppenrichtlinien
- Empfohlene Sicherheitsrichtlinien für Windows Server 2008
- Import & Export von Sicherheitseinstellungen
- Geeignete OU-Struktur für Windows Server - Gruppenrichtlinien
- Übung Security Baseline
- WinRM/WinRS over HTTPS
- WS-Management und WinRM
- Remote Administration mit WinRM
- Einrichten von HTTPS-Listener
- Übung Arbeiten mit WinRM over HTTPS
|
 |
|
| Remote Administration von 2008 R2 Server mit WinRS / WinRM über HTTPS durch Firewall |
- BitLocker und USB-Stick
- Richtlinien für die USB-Nutzung
- Drive Encryption mit BitLocker
- BitLocker To Go
- Übung Arbeiten mit USB-Richtlinien und BitLocker
|
 |
|
 |
|
| BitLocker Drive Encryption mit Passwort bzw. Smart Card |
5. Block: Monitoring & Auditing
- Auditing
- Überwachungsrichtlinien
- Advanced Audit Policy, Audit Category und Subcategory
- Auditpol.exe
- Auswerten der Sicherheitsereignisse mit PowerShell V2
- Übung Audit
|
 |
|
| Advanced Audit Policy - Subcategory |
|
 |
|
| Force Subcategory Auditing |
- Enterprise Auditing mit SCOM 2007
- Der SCOM Operationsmanager Audit Collector Server (ACS)
- Agent Audit Forwarder
- Audit-Filter und Sammeln von sicherheitsrelevanten Ereignissen
- Auswerten der Sicherheitsereignisse mit SQL-Reporting
- Übung Auditing mit SCOM
|
 |
|
| SCOM 2007 - Sammeln von sicherheitsrelevanten Ereignissen |
6. Block: Checklist
- Checklist - Gemeinsames Erarbeiten einer Check Liste für die Windows Serversicherheit.
|
|
|
|
| - Vertrauen Sie unserer Kompetenz - |
|
|
Tel +49 (0)
7031 23 09 32 - Fax +49 (0) 7031 2342 10
www.ntsystems.de