Hybrid Authentication

Intensivkurs ASAI-2 - Level 5

ASAI-2 - Hybrid Authentication

Extended ESAE - SCAMA & PAPA & MAMA - WAC Jump Server - Windows Hello for Business - Azure Application Proxy - RDS (RDP Gateway) - PAW2Go

In diesem für 2021 erneut aufgelegten ASAI-2 4-Tageskurs werden neue Features und Passwordless Authentication Methoden präsentiert, die die Verwaltung einer AD Multi-Forest Umgebung noch höhere Sicherheit und Flexibiltät bietet. Der bisherige eingeschränkte interne Wirkungsbereich durch die On-Premises Kerberos Authentifizierung wird mit Hilfe von Azure AD erweitert, sodass Administratoren auch von unterwegs oder von Home Office aus auf die Firmenserver sicher zugreifen und auch administrieren können.

Block 1: Kerberos Authentication mit Erweiterung des ASAI-1 Kurses um die Compound Authentication mit PAPA, MAMA, Resource Based Delegation in Multi-Forest.
Mit PAW2Go können PAW und SCAMA ausserhalb der Firmengelände mit Hilfe von VPN eingesetzt werden.
Bastion Forest für Tier 0 (Red Forest)
Bastion Forest für Tier 1 (Privileged Forest)
Cross-Forest TGT

Block 2: Passwordless Authentication mit Azure AD: Windows Hello for Business (WHfB), FIDO2 Security Key, Hello SCAMA
Compound Authentication mit Windows Hello for Business (DeviceID + User Identity)
AAD Connect und Hybrid Authentication (PTA, PHS mit sSSO)
Remote Desktop Services (RDS) Gateway, RDP Zugriff auf On-premises Ressourcen über den Azure Application Proxy mit Conditional Access und MFA

In ASAI-2 werden die neuesten zertifikatsbasierenden Kerberos Erweiterungen für Windows 10 und Windows Server 2016/2019 unterrichtet, die dafür sorgen, dass kein Computerpasswort und Benutzer-Passwort für die Verschlüsselung der Kerberos Nachrichten eingesetzt werden müssen. PKINIT (User+Computer) und FAST sowie Compound Authentication erhöhen die Sicherheit in einem Bastion Forest erheblich.

In ASAI-2 nutzen wir den den Windows Admin Center (WAC) als Sammelpunkt (Jump Server) für die zentrale HTTPS Remote Administration von mehreren Servern in einem Produktion Forest. Er kann einen herkömmlichen Terminalserver bzw. ein RDP-Gateway ersetzen. Von einer "zertifizierten" PAW (PAPA-MAMA) in einem Bastion Forest aus gehen Administratoren auf den Jump Server, um von dort aus per HTTPS oder auch per RDP auf andere Server in diesem Produktionsforest zu verwalten. Die Resource Based Kerberos Delegation sorgt dafür, dass Kerberos Service Tickets (TGS) im Namen vom Benutzer ausgestellt werden können.

Wenn ein PAW mit Kerberos Client Auth Zertifikat sein Private Key im Credential Guard Container ablegen kann, ist er ein "zertifizierter" PAW, den wir als PAPA (Public-Key Authenticated PAW) bezeichnen. Ein PAW wird mit Issuance Policy versehen, sodass er nach dem Neustart zu einer zertifizierten MAMA Universalgruppe gehört (Machine Authentication Mechanism Assurance). Aktivierte Kerberos Compound Authentication Policy und zusätzliche Authentication Policy sorgen dafür, dass z.B. Red-Forest Admins nur an solcher PAW arbeiten dürfen.

Wir erweitern den Einsatz von SCAMA auf einem PAW durch PAW2Go, sodass ein PAW nun auch ausserhalb der Firma "secure" eingesetzt werden kann. Admin bleibt "unsichtbar", wenn er unterwegs von seinem PAW aus über das VPN auf die Firmenserver zugreift und administriert.

Wenn Azure AD zum Einsatz kommt, haben wir zwei  Erweiterungen mehr für eine sichere passwordless Authentifizierung:
- Windows Hello for Business (Compound Authentication mit Benutzer-Gesichtserkennung und Device Identität)
- FIDO2 Security Key als Primary (ab Windows 10 2004) oder Secondary Authentication Factor (ab Windows 10 1903)

Windows Hello For Business (WHFB) zusammen mit TPM 2.0 kann auf einer Windows 10 Enterprise für Benutzer aktiviert werden, wenn diese entweder Azure AD Joined oder Hybrid Azure AD Joined ist. Abgesehen von SCAMA ist das bei WHFB verwendete Verfahren PRT (Primary Refresh Token) im Moment als die modernste und sicherste Compound Authentifizierungsmethode in der Windows Welt. Wir nutzen im Kurs die WHFB Cert Trust anstatt Key Trust Methode. Das WHFB User Zertifikat von der Firmen PKI wird mit Hilfe von NDES und INTUNE ausgestellt.

WHfB kann zusätzlich mit FIDO2 Security Key als Secondary Authentication Faktor kombiniert werden.

Für unser ASAI-Konzept mit "unsichbarer" Administration ist SCAMA nachwievor die bessere Methode. Wir sind noch dabei WHFB und SCAMA zu Hello SCAMA zu kombinieren. Der Vorteil ist, dass keine Smart Card für SCAMA benötigt wird. Der Nachteil ist, dass das Gesicht nur eine Roll zulässt.
----

Nach dem ASAI-2 Kurs können Sie ja selber die beste Methode für den jeweiligen Einsatz aussuchen.

  1. Wenn ich (nicht als Admin) oft unterwegs bin, und muß global auf die Ressourcen in Azure und On-Premises zugreifen, ist eine "unabhängige" Azure AD Joined Windows 10 mit WHFB und FIDO2 Security Key die richtige Wahl.
  2. Wenn ich (als Admin) meine Server "secure" in der Firma verwalten will, kommt nur SCAMA auf meinem PAW in Frage.
  3. Wenn ich (als Admin) aber von unterwegs oder vom Home Office aus die Server in der Firma verwalten möchte, ist PAW2Go inkl. SCAMA das Richtige.
  4. Anstelle Smart Card für SCAMA kann Hello SCAMA mit Gesichtserkennung in Frage kommen, allerdings ist nur eine Adminrolle möglich.

SCAMA braucht immer eine Netzwerkverbindung zu den Domain Controllern in der Firma, also per LAN oder VPN.

Bemerkung: Die Kursmodule von ASAI-1 wie PAW und SCAMA sowie die verschiedenen ESAE Szenarien werden im ASAI-2 Kurs nicht mehr behandelt.

ZIELGRUPPE
Das Seminar richtet besonders an die Enterprise und Domain Administratoren sowie IT-Sicherheitspersonal, die eine hochsichere AD Infrastruktur nach dem ESAE Tier-Modell und unserem ASAI-Konzept (Advanced Security AD Infrastructure)  aufbauen möchten. ASAI-2 erweitert die Sicherheit und die Reichweite von ASAI-1.
Langjährige Erfahrung mit Active Directory und Besuch des Intensivkurses ASAI-1 werden empfohlen, ja vorausgesetzt!
Gute Kenntnisse in PKI oder Besuch des Kurses PKI2019 sind zu empfehlen, da fast alle Kursmodule zertifikatsbasierend sind.

NIVEAU
Level 5 — sehr anspruchsvoll!

DAUER
  4 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

Live Class
27.04. - 30.04.2021 Ausgebucht
18.05. - 21.05.2021 Geschlossen
 
Präsent (vor Ort)
21.09. - 24.09.2021 noch Plätze frei
30.11. - 03.12.2021 noch Plätze frei

Zur Anmeldung

PREIS
4.750,- € zzgl. Mwst.
Kursbesuch nur gegen Vorkasse möglich!

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag:   09:00 - 17:00 Uhr
An Folgetagen:   08:30 - 17:00 Uhr
Am letzten Tag:   08:30 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

ASAI (Advanced Security AD Infrastructure) mit Bastion 'Red' Forest , Privileged Forest und Produktion Forests (Account, Resource)
ASAI (Advanced Security AD Infrastructure) mit Bastion "Red" Forest (Tier 0), Privileged Forest (Tier 1) und Produktion Forests (Account, Resource)


Jump Server 1, 2, 3
Zugriff auf Jump Server (Windows Admin Center) vom Bastion / Privileged Forest - Kerberos Resource Based Delegation


Kerberos Authentication mit PKINIT (RFC 4556)
Kerberos Authentication mit PKINIT (RFC 4556) - Certificated Based Kerberos Pre Authentication


Device Registration - SSO + Conditional Access
Zugriff auf On-Premises Jump Server (Windows Admin Center) von Internet - SSO + Conditional Access


Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -