Intensivkurs ASAI-2 - Level 5

ASAI-2 - Hybrid Authentication

Extended ESAE - SCAMA & PAPA & MAMA - WAC Jump Server - Windows Hello for Business - Azure Application Proxy - RDS (RDP Gateway) - PAW2Go

In diesem für 2021 erneut aufgelegten ASAI-2 4-Tageskurs werden neue Features und Passwordless Authentication Methoden präsentiert, die die Verwaltung einer AD Multi-Forest Umgebung noch höhere Sicherheit und Flexibiltät bietet. Der bisherige eingeschränkte interne Wirkungsbereich durch die On-Premises Kerberos Authentifizierung wird mit Hilfe von Azure AD erweitert, sodass Administratoren auch von unterwegs oder von Home Office aus auf die Firmenserver sicher zugreifen und auch administrieren können.

Block 1: Kerberos Authentication mit Erweiterung des ASAI-1 Kurses um die Compound Authentication mit PAPA, MAMA, Resource Based Delegation in Multi-Forest.
Mit PAW2Go können PAW und SCAMA ausserhalb der Firmengelände mit Hilfe von VPN eingesetzt werden.
Bastion Forest für Tier 0 (Red Forest)
Bastion Forest für Tier 1 (Privileged Forest)
Cross-Forest TGT

Block 2: Passwordless Authentication mit Azure AD: Windows Hello for Business (WHfB), FIDO2 Security Key, Hello SCAMA
Compound Authentication mit Windows Hello for Business (DeviceID + User Identity)
AAD Connect und Hybrid Authentication (PTA, PHS mit sSSO)
Remote Desktop Services (RDS) Gateway, RDP Zugriff auf On-premises Ressourcen über den Azure Application Proxy mit Conditional Access und MFA

In ASAI-2 werden die neuesten zertifikatsbasierenden Kerberos Erweiterungen für Windows 10 und Windows Server 2016/2019 unterrichtet, die dafür sorgen, dass kein Computerpasswort und Benutzer-Passwort für die Verschlüsselung der Kerberos Nachrichten eingesetzt werden müssen. PKINIT (User+Computer) und FAST sowie Compound Authentication erhöhen die Sicherheit in einem Bastion Forest erheblich.

In ASAI-2 nutzen wir den den Windows Admin Center (WAC) als Sammelpunkt (Jump Server) für die zentrale HTTPS Remote Administration von mehreren Servern in einem Produktion Forest. Er kann einen herkömmlichen Terminalserver bzw. ein RDP-Gateway ersetzen. Von einer "zertifizierten" PAW (PAPA-MAMA) in einem Bastion Forest aus gehen Administratoren auf den Jump Server, um von dort aus per HTTPS oder auch per RDP auf andere Server in diesem Produktionsforest zu verwalten. Die Resource Based Kerberos Delegation sorgt dafür, dass Kerberos Service Tickets (TGS) im Namen vom Benutzer ausgestellt werden können.

Wenn ein PAW mit Kerberos Client Auth Zertifikat sein Private Key im Credential Guard Container ablegen kann, ist er ein "zertifizierter" PAW, den wir als PAPA (Public-Key Authenticated PAW) bezeichnen. Ein PAW wird mit Issuance Policy versehen, sodass er nach dem Neustart zu einer zertifizierten MAMA Universalgruppe gehört (Machine Authentication Mechanism Assurance). Aktivierte Kerberos Compound Authentication Policy und zusätzliche Authentication Policy sorgen dafür, dass z.B. Red-Forest Admins nur an solcher PAW arbeiten dürfen.

Wir erweitern den Einsatz von SCAMA auf einem PAW durch PAW2Go, sodass ein PAW nun auch ausserhalb der Firma "secure" eingesetzt werden kann. Admin bleibt "unsichtbar", wenn er unterwegs von seinem PAW aus über das VPN auf die Firmenserver zugreift und administriert.

Wenn Azure AD zum Einsatz kommt, haben wir zwei Erweiterungen mehr für eine sichere passwordless Authentifizierung:
- Windows Hello for Business (Compound Authentication mit Benutzer-Gesichtserkennung und Device Identität)
- FIDO2 Security Key als Primary (ab Windows 10 2004) oder Secondary Authentication Factor (ab Windows 10 1903)

Windows Hello For Business (WHFB) zusammen mit TPM 2.0 kann auf einer Windows 10 Enterprise für Benutzer aktiviert werden, wenn diese entweder Azure AD Joined oder Hybrid Azure AD Joined ist. Abgesehen von SCAMA ist das bei WHFB verwendete Verfahren PRT (Primary Refresh Token) im Moment als die modernste und sicherste Compound Authentifizierungsmethode in der Windows Welt. Wir nutzen im Kurs die WHFB Cert Trust anstatt Key Trust Methode. Das WHFB User Zertifikat von der Firmen PKI wird mit Hilfe von NDES und INTUNE ausgestellt.

WHfB kann zusätzlich mit FIDO2 Security Key als Secondary Authentication Faktor kombiniert werden.

Für unser ASAI-Konzept mit "unsichbarer" Administration ist SCAMA nachwievor die bessere Methode. Wir sind noch dabei WHFB und SCAMA zu Hello SCAMA zu kombinieren. Der Vorteil ist, dass keine Smart Card für SCAMA benötigt wird. Der Nachteil ist, dass das Gesicht nur eine Roll zulässt.
----

Nach dem ASAI-2 Kurs können Sie ja selber die beste Methode für den jeweiligen Einsatz aussuchen.

Wenn ich (nicht als Admin) oft unterwegs bin, und muß global auf die Ressourcen in Azure und On-Premises zugreifen, ist eine "unabhängige" Azure AD Joined Windows 10 mit WHFB und FIDO2 Security Key die richtige Wahl.
Wenn ich (als Admin) meine Server "secure" in der Firma verwalten will, kommt nur SCAMA auf meinem PAW in Frage.
Wenn ich (als Admin) aber von unterwegs oder vom Home Office aus die Server in der Firma verwalten möchte, ist PAW2Go inkl. SCAMA das Richtige.
Anstelle Smart Card für SCAMA kann Hello SCAMA mit Gesichtserkennung in Frage kommen, allerdings ist nur eine Adminrolle möglich.

SCAMA braucht immer eine Netzwerkverbindung zu den Domain Controllern in der Firma, also per LAN oder VPN.

Bemerkung: Die Kursmodule von ASAI-1 wie PAW und SCAMA sowie die verschiedenen ESAE Szenarien werden im ASAI-2 Kurs nicht mehr behandelt.

ZIELGRUPPE
Das Seminar richtet besonders an die Enterprise und Domain Administratoren sowie IT-Sicherheitspersonal, die eine hochsichere AD Infrastruktur nach dem ESAE Tier-Modell und unserem ASAI-Konzept (Advanced Security AD Infrastructure) aufbauen möchten. ASAI-2 erweitert die Sicherheit und die Reichweite von ASAI-1.
Langjährige Erfahrung mit Active Directory und Besuch des Intensivkurses ASAI-1 werden empfohlen, ja vorausgesetzt!
Gute Kenntnisse in PKI oder Besuch des Kurses PKI2019 sind zu empfehlen, da fast alle Kursmodule zertifikatsbasierend sind.

NIVEAU
Level 5 — sehr anspruchsvoll!

DAUER
4 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

Live Class
27.04. - 30.04.2021	✓ Ausgebucht
18.05. - 21.05.2021	✓ Geschlossen

Präsent (vor Ort)
21.09. - 24.09.2021	✓ noch Plätze frei
30.11. - 03.12.2021	✓ noch Plätze frei

Zur Anmeldung

PREIS
4.750,- € zzgl. Mwst.
Kursbesuch nur gegen Vorkasse möglich!

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN

Am ersten Tag:		09:00 - 17:00 Uhr
An Folgetagen:		08:30 - 17:00 Uhr
Am letzten Tag:		08:30 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.

AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

ASAI (Advanced Security AD Infrastructure) mit Bastion "Red" Forest (Tier 0), Privileged Forest (Tier 1) und Produktion Forests (Account, Resource)

Jump Server 1, 2, 3
Zugriff auf Jump Server (Windows Admin Center) vom Bastion / Privileged Forest - Kerberos Resource Based Delegation

Kerberos Authentication mit PKINIT (RFC 4556) - Certificated Based Kerberos Pre Authentication

Device Registration - SSO + Conditional Access
Zugriff auf On-Premises Jump Server (Windows Admin Center) von Internet - SSO + Conditional Access

Einführungsvortrag: Gesamtblick - "Extended" ESAE mit Hybrid-Authentication
Zusammenspiel der verschiedenen Authentifizierungsprotokolle - Kerberos Based und Token Based.
Neueste Sicherheitstechnologien von Windows 10 und Windows Server 2016 inkl. SCAMA, PAPA, MAMA und Windows Hello for Business (WHfB).

SCAMA		Smart Card Authentication Mechanism Assurance (ASAI-1)
PAPA		Public Key Authenticated PAW (ASAI-2)
MAMA		Machine AMA (ASAI-2)
PKINIT		Public Key (User+Device) Pre-Authentication (ASAI-2)
FAST		Kerberos Armoring + Compound Authentication (ASAI-2)
WHfB		Windows Hello for Business - Multi-Faktor Authentication (ASAI-2)
JUMP SERVER Nr. 1		Kerberos Double-Hop mit Resource Based Delegation (ASAI-2)
PAW2Go		Erweiterung durch HTTPS-Zugriff vom Internet - WHfB + Azure Application Proxy + Azure Conditional Access
WHfB + FIDO 2		PAW Einsatz via VPN für Unterweges (ASAI-2)
FIDO 2		Azure AD Passwordless Authentication mit WHfB + FIDO2 Security Key (Secondary Authentication) - ASAI-2
Hello SCAMA		Kombination SCAMA und WHfB (ASAI-2)

Modul 01: Firewall im ESAE Multi-Forest
Die verschiedene AD Forests in ESAE müssen durch Firewall getrennt und geschützt werden.
Der Verwaltungszugriff von einer PAW im Bastion Forest aus auf die Server in andere Forests erfordert viele Firewall Regeln.
Auch Domain Controller und PIM Trust nutzen u.a. Netlogon [N-RPC] und brauchen dynamische RPC Ports.
In diesem Modul zeigen wir die verschiedene Kommunikationsarten in so einem Multi-Forest und wie die dynamische Ports für RPC eingeschränkt werden können.

AD Web Services - msDS-ShadowPrincipal

Active Directory Web Services

Active Directory Web Services - Port 9389

WinRM Datenverkehr mit Kerberos verschlüsselt - Port 5985

RPC Kommunikation - Netlogon

Zuweisung feste Ports für Netlogon
Modul 02: Verwaltung im Multi-Forest mit PAW und Jump Server Nr. 1
Deep-Dive in Kerberos (III)
Von einem PAW im Bastion Forest aus, werden die Windows Server in einem Produktionsforest durch die Firewall verwaltet.
IPSec ist in einem Multi-Forest mit One-Way PIM-Trust nicht unbedingt die richtige Lösung.
RDP Gateway ist langfristig auch keine richtige Lösung, weil nicht universell wie HTTPS.
Jump Server sollte HTTPS von überall erreichbar sein und unterschiedliche Authentication Protokolle (Kerberos und Token Based) unterstützen.
Wir zeigen, wie ein Jump Server (Windows Admin Center) in Kombination mit SCAMA (Smart Card Authentication Mechanism Assurance) genutzt werden kann, um mehrere Produktionsserver via HTTPS sicher zu verwalten. Es gibt jedoch im Moment noch Einschränkungen, die aber durch Workarounds gelöst werden können.
Damit eine Kerberos SSO Authentifizierung bei diesem bekannten „Double-Hop“ Szenario möglich ist, wird die Kerberos Erweiterung S4U2Proxy angewandt.
Die Resource Based Delegation erlaubt Double-Hop in einem Multi-Forest.

Resource Based Kerberos Delegation - PrincipalsAllowedToDelegateToAccount

Windows Admin Center Portal
Modul 03: Hardening Bastion Forest > PAPA und MAMA
Alle Rechner in einem Bastion Forest müssen mit Zertikat arbeiten, um zu verhindern, dass Computerpasswort und Benutzerpasswort für die Verschlüsselung der Kerberos Tickets eingesetzt werden. Obwohl schon lang in PKINIT festgelegt, kann sich erst Windows 10 mit "Kerberos Client Auth" an 2016 KDC authentifizieren.
Zertifizierte Windows 10 Enterprise PAWs müssen mindestens Credential Guard aktiviert haben.
Das "Kerberos Client Auth" Zertifikat wird manuell beantragt, sodass der Private Key immer im geschützen LSA-Container von Credentail Guard gespeichert wird.
MAMA (Machine AMA) sorgt dafür, dass nur PAWs mit Computerzertifikat in die gewünschte Computergruppe z.B. PAW-MAMA automatisch aufgenommen werden.
Authentication Policy und Kerberos Compound Authentication sorgen dafür, dass Admins nur mit SCAMA an zertifizierten PAWs von PAW-MAMA arbeiten dürfen.

Force Device Authentication - Kerberos Client Auth

Always Compound Authentication

Device Authentication - Bound Public Key

Zertifizierte PAWs (PAPA) in der Device Group PAW-MAMA

Zuordnung Bastion Forest Admins zur zertifizierten PAW Gruppe PAW-MAMA
Modul 04: Kerberos Authentication im Multi-Forest mit One-Way PIM-Trust (Privileged Identity Management).(Infomodul)
PIM-Trust und Cross-Forest Referal TGT
Ohne den PIM-Trust eines 2016/2019 Forests ist es nicht möglich, ein msDS-ShadowPrincipal vom Trusting in ein Trusted Bastion Forest zu spiegeln.
Durch die Object-SID vom Trusting Forest im Spiegelobjekt ist es möglich, die Identität von diesem für die Administration des Trusting Forests einzusetzen.
Troubleshooting PIM-Trust

ESAE Realisierung mit SCAMA: Szenario I und III (mit msDS-ShadowPrincipal)
Modul 05: Bastion Forest Hardening II - PKINIT, FAST Compound Authetication (Infomodul)
Kerberos Armoring
FAST (Flexible Authentication Secure Tunneling)
PKINIT Freshness
Kerberos Claims
PAPA + MAMA

Pre Auth mit PKINIT

Pre Auth ohne PKINIT
Modul 06: Azure Active Directory Connect (AAD Connect)
Synchronization Service Manager
Synchronization Rules Editor
Staging Server

Synchronization Service Manager

Synchronization Rules Editor

AAD Connect Server (Aktiv & Staging)
Modul 07: Hybrid Authentication: PTA (Pass-Through Authentication), PHS (Password-Hash Sync), sSSO (Seamless)
Hybrid Authentication über die Azure Cloud
Seamless Single Sign-On
Pass-Through Authentication
Password Hash Synchronization

AAD Connect PTA
Modul 08: Device Identities & Device Registration in Azure AD
Azure AD Joined mit Modern Managed
Hybrid Azure AD Joined mit Mixed Managed

Synchronisieren der RegisteredDevices in AD via AAD Connect in Azure AD
Modul 09: Passwordless Authentication: Windows Hello for Business (WHfB) Cert Trust
Windows Hello for Business Certificate Trust
NDES mit Intune Certificate Connector
Azure Web Application Proxy mit Azure Application Proxy Connector

Certificate Connector
Modul 10: Passwordless Authentication: FIDO2 Security Key – Zugriff auf Azure und On-Premises
FIDO2 Security Key
Windows 10 2004 Logon mit FIDO2
Azure AD Kerberos Server

FIDO2 Security Key
Modul 11: Passwordless Authentication: Mutifactor Unlock - WHfB und FIDO2 Key
Multifactor Unlock
Windows Hello for Business Biometrie / PIN + FIDO2 Security Key

Muti-factor Unlock
Modul 12: Passwordless Authentication: Hello SCAMA – WHfB + SCAMA
WHfB Certeificate Trust mit SCAMA Funktionalität
WAC Verwaltung mit Hello SCAMA.

NDES Template

Configuration Profile
Modul 13: Windows Hello for Business (WHfB) + Jump Server 1 + Azure Application Proxy + Conditional Access
Konfigurieren der Application Proxy und Proxy Connector
Konfigurieren der Enterprise CloudApp
Intune Compliance Policy für Hybrid AAD Joined Windows 10
AAD Conditional Access
Test: Windows Hello for Business, HTTPS-Verbindung mit der CloudApp,
Zugriff auf das internen Windows Admin Center (Jump Server)

Azure Enterprise App mit SSO+ Conditional Access Policy

HTTPS-Zugriff vom Internet von einem Windows 10 (PAW) über die Azure CloudApp auf den On-Premises WAC mit SSO + Conditional Access
Modul 14: Remote Desktop Services Gateway (RDS) + Contional Access + MFA (Demo)
Einrichten einer Remote Desktop Services Infrastruktur inkl. Gateway Server
Konfiguration einer Azure Enterprise Application für RDS
Konfiguration von Conditional Access mit Multi-Factor Authentication
Sicherer HTTPS Zugriff auf On-premises Maschinen über das RDS Gateway

RDS Komponenten

RDSGW Enterprise Application - Azure Application Proxy

Conditional Access - Require Multi-Factor Authentication (MFA)
Modul 15: Always-On VPN + PAW2Go + SCAMA im HomeOffice (Demo)
Konfigurieren von Always-On VPN (RRAS und NPS)
Einrichten eines VPN User Profiles
VPN Device Force Tunnel mit IKEv2 Device Certificate
SCAMA im Home Office

VPN User Connection

VPN Device Tunnel

SCAMA im Home Office

- Vertrauen Sie unserer Kompetenz -