Intensivkurs ASAI-2 - Level 5
ASAI-2 - Hybrid Authentication
Extended ESAE - SCAMA & PAPA & MAMA - Jump Server - Windows Hello for Business - Azure Bastion - Azure Application Proxy - HGS (Host Guardian Service)
LIVE CLASS
Mit Microsoft TEAMS
Sehr geehrte Kunden!
Nach umfangreichen Tests bieten wir mit Microsoft TEAMS hochwertige interaktive Online Kurse während der CORONA Krisenzeit an.
Die Online Kurse werden gesondert als LIVE CLASS (LC) gekennzeichnet.
Die interaktiven LIVE CLASS Kurse befreien uns von den CORONA Schutzbestimmungen und können immer stattfinden!
LC Kategorie 2: On-Premises Kurse ohne Remote Desktop Gateway (RDG) werden als LC nur für BBK angeboten.
LC Kategorie 3: On-Premises Kurse mit Remote Desktop Gateway (RDG) werden als LC später auch zusätzlich für HOK angeboten.
HOK = Home Office Kursteilnehmer
BBK = Kursteilnehmer kommen zu uns nach Böblingen und sitzen verteilt in mehreren Schulungsräumen,
wenn die Landesbestimmung zu CORONA wieder einen Kursbesuch bei uns in Böblingen erlaubt!
RDG = Remote Desktop Gateway ermöglicht den Zugriff von Internet User (HOK) auf die Server in Böblingen
Erfahren Sie hier mehr zu LIVE CLASS und Teilnahmebedingungen.
Sobald die CORONA Beschränkung aufgehoben wird, unterrichten wir anstelle LIVE CLASS wieder in unseren Räumen.
Bitte beachten Sie, dass auch ein Super LIVE CLASS Kurs niemals eine Vor-Ort Schulung ersetzen kann!
LIVE CLASS Inhalt
LIVE CLASS
Mit Microsoft TEAMS
Erläuterungen und Teilnahmebedingungen
Drei Szenarien für LIVE CLASS Kurse (während der CORONA Zeit)
LC Kategorie 1: Einige Azure Kurse werden zuerst nur als LC für Home Office (HOK) und Kursteilnehmer in Böblingen (BBK) angeboten.
LC Kategorie 2: On-Premises Kurse ohne Remote Desktop Gateway (RDG) werden als LC nur für BBK angeboten.
LC Kategorie 3: On-Premises Kurse mit Remote Desktop Gateway (RDG) werden als LC später auch zusätzlich für HOK angeboten.
Keine LC Kurse: On-Premises Kurse wie ASAI, ASAI-2, Exchange Hybrid, Windows Hello for Business können nicht als LC angeboten werden.
HOK = Home Office Kursteilnehmer
BBK = Kursteilnehmer kommen zu uns nach Böblingen und sitzen verteilt in mehreren Schulungsräumen,
wenn die Landesbestimmung zu CORONA wieder einen Kursbesuch bei uns in Böblingen erlaubt!
RDG = Remote Desktop Gateway ermöglicht den Zugriff von Internet User (HOK) auf die Server in Böblingen
Wenn die Schutzbestimmung gelockert wird, können Sie gerne nach Böblingen kommen, auch wenn z.B. ein Azure Hybrid Kurs für HOK angeboten wird.
Eine Vor-Ort Schulung bietet auf jeden Fall einen direkten Kontakt mit den Trainern, was eine pure LIVE CLASS nicht kann.
Bitte beachten Sie, dass auch ein Super LIVE CLASS Kurs niemals eine Vor-Ort Schulung ersetzen kann!
LC Kategorie 1: LIVE CLASS via TEAMS ➔ für Azure Kurse
Zu Kategorie 1 gehören die Kurse: Azure für Administratoren, Azure Monitor, Azure SQL, Azure Hybrid, Azure Automation, TEAMS
2x Trainer (davon 1x TEAMS Unterstützer) sind im Schulungsraum in Böblingen.
Die Kursteilnehmer sind in Home Office (HOK) oder sie sitzen bei uns im Böblingen Office (BBK), aber verteilt in mehreren Räumen.
Wegen den CORONA Schutzbestimmungen und Mikrofon-Rückkopplung dürfen Kursteilnehmer nicht zusammen mit Trainern in einem Raum sitzen.
- Netzwerkverbindungen:
1x HTTPS Internetverbindung zu Microsoft Azure TEAMS
LC Kategorie 2: LIVE CLASS via TEAMS + lokale Netzwerkverbindung ➔ für On-Premises Kurse (ohne RD Gateway)
Zu Kategorie 2 gehören die Kurse: ADS, Exchange, SQL, Cluster, Exchange Hybrid, Advanced Exchange, Group Policy, PKI, INTUNE, Windows Hello for Business
Wenn die Landesbestimmung zu CORONA wieder einen Kursbesuch bei uns in Böblingen erlaubt!
2x Trainer (davon 1x TEAMS Unterstützer) sind im Schulungsraum in Böblingen.
Kursteilnehmer sitzen bei uns im Böblingen Office (BBK), aber verteilt in mehreren Räumen.
- Netzwerkverbindungen:
1x HTTPS Internetverbindung zu Microsoft Azure TEAMS
1x RPC Verbindung zum lokalen Servern in Böblingen
LC Kategorie 3: LIVE CLASS via TEAMS + lokale Netzwerkverbindung ➔ für On-Premises Kurse (mit RD Gateway noch im Test)
Zu Kategorie 3 gehören die Kurse: ADS, Exchange, SQL, Cluster, Exchange Hybrid, Advanced Exchange, Group Policy, PKI, INTUNE, Windows Hello for Business
Wenn die Landesbestimmung zu CORONA wieder einen Kursbesuch bei uns in Böblingen erlaubt!
2x Trainer (davon 1x TEAMS Unterstützer) sind im Schulungsraum in Böblingen.
Die Kursteilnehmer sind in Home Office (HOK) oder sie sitzen bei uns im Böblingen Office (BBK), aber verteilt in mehreren Räumen.
- Netzwerkverbindungen:
Trainer und Kursteilnehmer in Böblingen
1x HTTPS Internetverbindung zu Microsoft Azure TEAMS
1x RPC Verbindung zum lokalen Servern in Böblingen
Home Office Kursteilnehmer
1x HTTPS Internetverbindung zu Microsoft Azure TEAMS
1x HTTPS Internetverbindung zu Remote Desktop Gateway in Böblingen
Empfehlungen zur Teilnahme als HOK (Home Office Kursteilnehmer)
- Webcam
- Hochwertiges MONO Headset (z.B. Jabra Envolve2 65)
- Zwei Bildschirme (1x für TEAMS und 1x für Übungen)
- Kabelanschluss direkt an Router/Switch anstatt WLAN
- Windows 10 mit TEAMS App ➔
https://www.microsoft.com/de-de/microsoft-365/microsoft-teams/download-app
Die Audio und Video Qualität der hoch interaktiven LIVE CLASS Schulung ist stark abhängig von o.g. Komponenten.
Wir nutzen in Böblingen zwei Glasfaser Standleitungen mit je 512 Mbit/s (jeder Zeit erweiterbar auf 1 GB/s bzw. 10 GB/s) für Internet.
Unser LAN ist 1 GBit/s und in der Regel 10 Gbit/s.
Zusätzliche Access Points von Unitymedia (Vodafone)
Teilnahme an LIVE CLASS in Böblingen Schulungszentrum
Sie haben z.B. den Azure Hybrid Kurs als LIVE CLASS gebucht, möchten aber unbedingt zu uns nach Böblingen kommen.
Für eine begrenzte Teilnehmerzahl können wir dies anbieten, sodass Sie trotz LIVE CLASS einen direkten Kontakt mit den Trainern bekommen.
Wir müssen Plätze für Sie außerhalb des Schulraums (Rückkopplung, Geräusche etc.) einrichten.
Sie können somit den Kurs interaktiv via TEAMS parallel zu den Home Office Teilnehmer mitverfolgen.
Ein Kursbesuch bei uns in Böblingen ist nur möglich, wenn die CORONA Schutzbestimmung, hoffentlich nach dem 3. Mai 2020 gelockert wird.
- LIVE CLASS Teilnehmer bekommen die Kurs-Dokumentation in Digital-Form (PDF bzw. docx) und auf Wunsch gegen
Aufpreis von 350,- € zzgl. Mwst.
auch die gedruckte Version (A4-Ordner), die wir dann verschicken.
- Vor Ort Schulungsteilnehmer bekommen die Kurs-Dokumentation wie üblich in gedruckter Form (A4-Ordner) und
auf Wunsch gegen Aufpreis von 350,- €
zzgl. Mwst.auch digital (PDF bzw. docx) am ersten Kurstag.
- Die Kursdoku sind geschützt und personalisiert.
Voraussetzung ist Vorkasse
- Wir nutzen Ihre Email-Adresse für Ihr Gast-Konto bei uns.
- Erst nach Zahlungseingang können die Zugangsdaten übermittelt werden.
- Ohne Vorkasse ist ein Besuch eines LIVE CLASS Kurses nicht möglich!
- Ohne Vorkasse ist ein Besuch eines anderen Kurses bei uns ab Mai 2020 nicht möglich!
- Dokumentation für LIVE CLASS kann nach der Authentifizierung in TEAMS herunter geladen werden.
Schliessen X
In diesem für 2020 neu aufgelegten ASAI-2 4-Tageskurs werden neue Features bzw. Methoden präsentiert, die die Verwaltung einer Multi-Forest Umgebung noch höhere Sicherheit und Flexibiltät bietet. Der bisherige eingeschränkte interne Wirkungsbereich durch die On-Premises Kerberos Authentifizierung wird mit Hilfe der Azure Application Proxy und Cloud App erweitert, sodass Benutzer/Administrator von seinem PAW (Privileged Access Workstation) aus von überall sicher via HTTPS nach einer MFA via Windows Hello for Business und zusätzlich mit Conditional Access auf die internen Server zugreifen kann.
Zum ersten Mal unterrichten wir Host Guardian Service (HGS) in diesem Kurs und in der Kurzfassung auch im unserem Failover Cluster Kurs. Durch die Kontrolle eines HGS Clusters können Tier 0 Shielded VMs auf einem Guarded Host Hyper-V sicher geschützt werden, sodass unterschiedliche VMs von Tier 0 und Tier 1 auf einem Hyper-V Server zusammen gehostet werden können.
Der neue ASAI-2 Kurs wird erweitert um folgene Kursmodule:
1) HGS (Host Guardian Service) Cluster, Guarded Hyper-V Hosts, Shielded VMs, SCVMM Deployment von Shielded VMs, Fallback HGS Cluster
2) Windows Hello for Business (WHfB) MFA und Compound Authentication
3) HTTPS-Internet-Zugriff auf geschützten On-Premises Jump Server (Windows Admin Center) - Kombination mit Azure Application Proxy + Conditional Access
Bemerkung:
Der Azure Cloud Anteil beträgt ca. 1/5 vom Kurs, weil noch nicht alle Firmen mit Cloud arbeiten. Der ASAI-2 Kurs wird von 5 und 4 Tage verkürzt, weil die "großen" Module Jump Server 2 (Kerberos / Token
Transition) und Jump Server 3 (OAuth2 On-Behalf) entfallen, da sie für Programmierer und für Administratoren ungegeignet sind.
Mehr Azure Cloud erfahren Sie in anderen Hybrid Cloud Kursen (Azure Monitor, Azure Hybrid, Exchange Hybrid etc.)
von uns.
In einer Enterprise Umgebung, in welcher die geschützten Tier 0 VMs wie Domain Controller, PKI CA, ADFS Server etc. auf Hyper-V Server laufen, ist der Einsatz von hoch verfügbaren HGS Cluster (Host Guardian Service), Fallback HGS Cluster und Guarded Hosts bzw. Guarded Cluster, um Shielded VMs zu verwalten, von größter Bedeutung, ja sogar Pflicht. Durch den Schutz eines HGS Clusters kann eine mit BitLocker verschlüsselte Shielded VM nicht mehr einfach von einem Tier 1 Hyper-V Admin gestartet werden. Der notwendige Key Protector für die Shielded VM kommt vom HGS Key Protector Service, aber nur, wenn der Guarded Host sein Health Certificate dem HGS zeigen kann.
In ASAI-2 werden auch die neuesten zertifikatsbasierenden Kerberos Erweiterungen für Windows 10 und Windows Server 2016 unterrichtet, die dafür sorgen, dass kein Computerpasswort und Benutzer-Passwort für die Verschlüsselung der Kerberos Nachrichten eingesetzt werden müssen. PKINIT und FAST sowie Compound Authentication sollen Pflicht in einem Bastion Forest sein.
Der Jump Server (Windows Admin Center) dient als Sammelpunkt für die zentrale HTTPS Remote Administration von mehreren Servern in einem Produktion Forest. Er kann einen herkömmlichen Terminalserver bzw. ein RDP-Gateway ersetzen. Von einer "zertifizierten" PAW (PAPA-MAMA) in einem Bastion Forest aus gehen Administratoren auf den Jump Server, um von dort aus per HTTPS oder auch per RDP auf andere Server in diesem Produktionsforest zu verwalten. Die Resource Based Kerberos Delegation sorgt dafür, dass Kerberos Service Tickets (TGS) im Namen vom Benutzer ausgestellt werden können. Wenn ein PAW mit Kerberos Client Auth Zertifikat sein Private Key im Credential Guard Container ablegen kann, ist er ein "zertifizierter" PAW, den wir als PAPA (Public-Key Authenticated PAW) bezeichnen. Ein PAW wird mit Issuance Policy versehen, sodass er nach dem Neustart zu einer zertifizierten MAMA Universalgruppe gehört (Machine Authentication Mechanism Assurance). Aktivierte Kerberos Compound Authentication Policy und zusätzliche Authentication Policy sorgen dafür, dass z.B. Red-Forest Admins nur an solcher PAW arbeiten dürfen.
Anstelle SCAMA, die auf Kerberos beschränkt ist, kann Windows Hello For Business (WHFB) zusammen mit TPM 2.0 auf einer Windows 10 Enterprise Maschine bzw. PAW eingesetzt werden, wenn Azure AD genutzt werden darf. Das bei WHFB verwendete Verfahren PRT (Primary Refresh Token) gilt im Moment als die modernste und sicherste Compound Authentifizierungsmethode in der Windows Welt. Das Ergebnis ist, dass man nicht nur intern, sondern überall auf der Welt per HTTPS und MFA sicher auf die internen Server zugreifen kann.
Bemerkung: Die Kursmodule von ASAI-1 wie PAW und SCAMA sowie die verschiedenen ESAE Szenarien werden im ASAI-2 Kurs nicht mehr behandelt.
ZIELGRUPPE
Das Seminar richtet besonders an die Enterprise und Domain Administratoren sowie IT-Sicherheitspersonal, die eine hochsichere AD Infrastruktur, angelehnt an das ESAE Tier-Modell,
aufbauen und einrichten möchten. ASAI-2 erweitert die Sicherheit und die Reichweite von ASAI-1.
Langjährige Erfahrung mit Active Directory und Besuch des Intensivkurses ASAI-1 werden empfohlen!
Gute Kenntnisse in PKI oder Besuch des Kurses PKI2019 sind zu empfehlen, da fast alle Kursmodule zertifikatsbasierend sind.
NIVEAU
Level 5 — sehr anspruchsvoll!
DAUER
4 Tage
ORT
NT Systems Schulungszentrum Böblingen
(Karte)
TERMINE
|
|
✓ "Corona!" |
|
|
✓ noch Plätze frei |
|
|
✓ noch Plätze frei |
PREIS
4.250,- € zzgl. Mwst. – inkl. Mittagessen 15,- € / Tag
MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.
SCHULUNGSZEITEN
Am ersten Tag 09:00 - 17:00 Uhr
An Folgetagen 08:30 - 17:00 Uhr
Am letzten Tag 08:30 - 13:00 Uhr
ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.
AUSFÜHRLICHE INFORMATIONEN
Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.
ASAI (Advanced Security AD Infrastructure) mit Bastion "Red" Forest, Privileged Forest und Produktion Forests (Account, Resource)
Zugriff auf Jump Server vom Bastion Forest - Kerberos Resource Based Delegation
Kerberos Authentication mit PKINIT (RFC 4556)
Zugriff auf On-Premises Jump Server (Windows Admin Center) von Internet - SSO + Conditional Access
- Einführungsvortrag: Gesamtblick - "Extended" ESAE mit Hybrid-Authentication
Zusammenspiel der verschiedenen Authentifizierungsprotokolle - Kerberos Based und Token Based.
Neueste Sicherheitstechnologien von Windows 10 und Windows Server 2016 inkl. SCAMA, PAPA, MAMA und Windows Hello for Business (WHfB).
SCAMA Smart Card Authentication Mechanism Assurance (ASAI-1) PAPA Public Key Authenticated PAW (ASAI-2) MAMA Machine AMA (ASAI-2) PKINIT Public Key (User+Device) Pre-Authentication (ASAI-2) FAST Kerberos Armoring + Compound Authentication (ASAI-2) WHfB Windows Hello for Business - Multi-Faktor Authentication (ASAI-2) JUMP SERVER Nr. 1 Kerberos Double-Hop mit Resource Based Delegation (ASAI-2) JUMP SERVER Nr. 1 Erweiterung durch HTTPS-Zugriff vom Internet - WHfB + Azure Application Proxy + Azure Conditional Access - Modul 01: Kerberos Authentication im Multi-Forest mit One-Way PIM-Trust (Privileged Identity Management).
PIM-Trust und Cross-Forest Referal TGT
Ohne den PIM-Trust eines 2016/2019 Forests ist es nicht möglich, ein msDS-ShadowPrincipal vom Trusting in ein Trusted Bastion Forest zu spiegeln.
Durch die Object-SID vom Trusting Forest im Spiegelobjekt ist es möglich, die Identität von diesem für die Administration des Trusting Forests einzusetzen.
Troubleshooting PIM-Trust
ESAE Realisierung mit SCAMA: Szenario I und III (mit msDS-ShadowPrincipal)
- Modul 02: Verwaltung im Multi-Forest mit PAW und Jump Server Nr. 1
Deep-Dive in Kerberos (III)
Von einem PAW im Bastion Forest aus, werden die Windows Server in einem Produktionsforest durch die Firewall verwaltet.
IPSec ist in einem Multi-Forest mit One-Way PIM-Trust nicht unbedingt die richtige Lösung.
RDP Gateway ist langfristig auch keine richtige Lösung, weil nicht universell wie HTTPS.
Jump Server sollte HTTPS von überall erreichbar sein und unterschiedliche Authentication Protokolle (Kerberos und Token Based) unterstützen.
Wir zeigen, wie ein JUMP SERVER in Kombination mit SCAMA (Smart Card Authentication Mechanism Assurance) genutzt werden kann, um mehrere Produktionsserver via HTTPS sicher zu verwalten. Es gibt jedoch im Moment noch Einschränkungen, die aber durch Workarounds gelöst werden können.
Damit eine Kerberos SSO Authentifizierung bei diesem bekannten „Double-Hop“ Szenario möglich ist, wird die Kerberos Erweiterung S4U2Proxy angewandt.
Die Resource Based Delegation erlaubt Double-Hop in einem Multi-Forest.
Resource Based Kerberos Delegation
- Modul 03: Firewall im ESAE Multi-Forest
Die verschiedene AD Forests in ESAE müssen durch Firewall getrennt und geschützt werden.
Der Verwaltungszugriff von einer PAW im Bastion Forest aus auf die Server in andere Forests erfordert viele Firewall Regeln.
Auch Domain Controller und PIM Trust nutzen u.a. Netlogon [N-RPC] und brauchen dynamische RPC Ports.
In diesem Modul zeigen wir die verschiedene Kommunikationsarten in so einem Multi-Forest und wie die dynamische Ports für RPC eingeschränkt werden können.
AD Web Services - msDS-ShadowPrincipal
Active Directory Web Services
Active Directory Web Services - Port 9389
WinRM Datenverkehr mit Kerberos verschlüsselt - Port 5985
RPC Kommunikation - Netlogon
Zuweisung feste Ports für Netlogon
- Modul 04: Hardening Bastion Forest > PAPA und MAMA
Alle Rechner in einem Bastion Forest müssen mit Zertikat arbeiten, um zu verhindern, dass Computerpasswort und Benutzerpasswort für die Verschlüsselung der Kerberos Tickets eingesetzt werden. Obwohl schon lang in PKINIT festgelegt, kann sich erst Windows 10 mit "Kerberos Client Auth" an 2016 KDC authentifizieren.
Zertifizierte Windows 10 Enterprise PAWs müssen mindestens Credential Guard aktiviert haben.
Das "Kerberos Client Auth" Zertifikat wird manuell beantragt, sodass der Private Key immer im geschützen LSA-Container von Credentail Guard gespeichert wird.
MAMA (Machine AMA) sorgt dafür, dass nur PAWs mit Computerzertifikat in die gewünschte Computergruppe z.B. PAW-MAMA automatisch aufgenommen werden.
Authentication Policy und Kerberos Compound Authentication sorgen dafür, dass Admins nur mit SCAMA an zertifizierten PAWs von PAW-MAMA arbeiten dürfen.
Force Device Authentication - Kerberos Client Auth
Always Compound Authentication
Device Authentication - Bound Public Key
Zertifizierte PAWs (PAPA) in der Device Group PAW-MAMA
Zuordnung Bastion Forest Admins zur zertifizierten PAW Gruppe PAW-MAMA
- Modul 05: Windows Hello for Business (WHfB) + Jump Server 1 + Azure Application Proxy + Intune Compliance Policy
Konfigurieren der Application Proxy und Proxy Connector
Konfigurieren der Enterprise CloudApp
Intune Compliance Policy für Hybrid AAD Joined Windows 10
AAD Conditional Access
Test: Windows Hello for Business, HTTPS-Verbindung mit der CloudApp,
Zugriff auf das internen Windows Admin Center (Jump Server)
Azure Enterprise App mit SSO+ Conditional Access Policy
HTTPS-Zugriff vom Internet von einem Windows 10 (PAW) über die Azure CloudApp auf den On-Premises WAC mit SSO + Conditional Access
- Modul 06: Windows Hello for Business (WHfB) + Azure Bastion
Konfigurieren VNET (Virtual Network) und Subnetze für geschütze Azure VM (Private IPs)
Konfigurieren AzureBastionSubnet für den Bastion Host Service
Windows Hello for Business Authentifizierung
Sicherer HTTPS Zugriff auf das Azure Portal
Sicherer RDP Connect auf die geschützte VMs
RDP Connect auf eine VM via BASTION Host
Konfiguriren der VM mit Private IP
Audit Log der RDP Connections auf die VMs
- Modul 07: HGS (Host Guardian Service) - Guarded Host -Shielded VM
Aufbau eines 3 Node HGS 2019 Cluster (TPM Mode) in einem eigenen Guardian Forest.
Einrichten eines Guarded Hyper-V 2019 Cluster.
Shielded VM Deployment mit signed VHDX Template, Answer-File und VM Fabric Owner.
Shield bestehender VMs.
Administration Guarded Hosts und Shielded VMs mit und ohne SCVMM 2019.
Fallback HGS einrichten.
HGS (Host Guardian Service) Cluster im eigenem AD Forest
HGS 3 Nodes Cluster
Prepare Guarded Host
Guarded Host
Shielded VM (Domain Controller)
Shielded DC Bastion Forest Tier 0 DC
Shielded Tier 0 DC vom Bastion Forest
Kein Zugriff auf Shielded VM VHDX
Kein Zugriff auf Shielded VHDX
Verbindung mit Shielded VM ohne HGS Key Attestation nicht möglich!
Bemerkung: Die einzelnen Kursbausteine werden laufend ergänzt.
- Vertrauen Sie unserer Kompetenz -