Hybrid Authentication

Intensivkurs ASAI-2 - Level 5

ASAI-2 - Hybrid Authentication

Extended ESAE - SCAMA & PAPA & MAMA - Jump Server - Windows Hello for Business - Azure Bastion - Azure Application Proxy - HGS (Host Guardian Service)

In diesem für 2020 neu aufgelegten ASAI-2 4-Tageskurs werden neue Features bzw. Methoden präsentiert, die die Verwaltung einer Multi-Forest Umgebung noch höhere Sicherheit und Flexibiltät bietet. Der bisherige eingeschränkte intene Wirkunungsbereich durch die On-Premises Kerberos Authentifizierung wird mit Hilfe der Azure Application Proxy und Cloud App erweitert, sodass Benutzer/Administrator von seinem PAW (Privileged Access Workstation) aus von überall sicher via HTTPS nach einer MFA via Windows Hello for Business und zusätzlich mit Conditional Access auf die internen Server zugreifen kann.

Zum ersten Mal unterrichten wir Host Guardian Service (HGS) in diesem Kurs und in der Kurzfassung auch im unserem Failover Cluster Kurs. Durch die Kontrolle eines HGS Clusters können Tier 0 Shielded VMs auf einem Guarded Host Hyper-V sicher geschützt werden, sodass unterschiedliche VMs von Tier 0 und Tier 1 auf einem Hyper-V Server zusammen gehostet werden können.

Der neue ASAI-2 Kurs wird erweitert um folgene Kursmodule:

1) HGS (Host Guardian Service) Cluster, Guarded Hyper-V Hosts, Shielded VMs, SCVMM Deployment von Shielded VMs, Fallback HGS Cluster
2) Windows Hello for Business (WHfB) MFA und Compound Authentication
3) HTTPS-Internet-Zugriff auf geschützten On-Premises Jump Server (Windows Admin Center) - Kombination mit Azure Application Proxy + Conditional Access
4) Azure Bastion (geschützter RDP-Gateway) für RDP-Connect auf geschützte Azure VMs (Private IP + Tunneling)

Bemerkung:
Der Azure Cloud Anteil beträgt ca. 1/5 vom Kurs, weil noch nicht alle Firmen mit Cloud arbeiten. Der ASAI-2 Kurs wird von 5 und 4 Tage verkürzt, weil die "großen" Module Jump Server 2 (Kerberos / Token Transition) und Jump Server 3 (OAuth2 On-Behalf) entfallen, da sie für Programmierer und für Administratoren ungegeignet sind.
Mehr Azure Cloud erfahren Sie in anderen Hybrid Cloud Kursen (Azure Monitor, AAD Hybrid, Exchange Hybrid etc.) von uns.

In einer Enterprise Umgebung, in welcher die geschützten Tier 0 VMs wie Domain Controller, PKI CA, ADFS Server etc. auf Hyper-V Server laufen, ist der Einsatz von hoch verfügbaren HGS Cluster (Host Guardian Service), Fallback HGS Cluster und Guarded Hosts bzw. Guarded Cluster, um Shielded VMs zu verwalten, von größter Bedeutung, ja sogar Pflicht. Durch den Schutz eines HGS Clusters kann eine mit BitLocker verschlüsselte Shielded VM nicht mehr einfach von einem Tier 1 Hyper-V Admin gestartet werden. Der notwendige Key Protector für die Shielded VM kommt vom HGS Key Protector Service, aber nur, wenn der Guarded Host sein Health Certificate dem HGS zeigen kann.

In ASAI-2 werden auch die neuesten zertifikatsbasierenden Kerberos Erweiterungen für Windows 10 und Windows Server 2016 unterrichtet, die dafür sorgen, dass kein Computerpasswort und Benutzer-Passwort für die Verschlüsselung der Kerberos Nachrichten eingesetzt werden müssen. PKINIT und FAST sowie Compound Authentication sollen Pflicht in einem Bastion Forest sein.

Der Jump Server (Windows Admin Center) dient als Sammelpunkt für die zentrale HTTPS Remote Administration von mehreren Servern in einem Produktion Forest. Er kann einen herkömmlichen Terminalserver bzw. ein RDP-Gateway ersetzen. Von einer "zertifizierten" PAW (PAPA-MAMA) in einem Bastion Forest aus gehen Administratoren auf den Jump Server, um von dort aus per HTTPS oder auch per RDP auf andere Server in diesem Produktionsforest zu verwalten. Die Resource Based Kerberos Delegation sorgt dafür, dass Kerberos Service Tickets (TGS) im Namen vom Benutzer ausgestellt werden können. Wenn ein PAW mit Kerberos Client Auth Zertifikat sein Private Key im Credential Guard Container ablegen kann, ist er ein "zertifizierter" PAW, den wir als PAPA (Public-Key Authenticated PAW) bezeichnen. Ein PAW wird mit Issuance Policy versehen, sodass er nach dem Neustart zu einer zertifizierten MAMA Universalgruppe gehört (Machine Authentication Mechanism Assurance) . Aktivierte Kerberos Compound Authentication Policy und zusätzliche Authentication Policy sorgen dafür, dass z. B. Red-Forest Admins nur an solcher PAW arbeiten dürfen.

Anstelle SCAMA, die auf Kerberos beschränkt ist, kann Windows Hello For Business (WHFB) zusammen mit TPM 2.0 auf einer Windows 10 Enterprise Maschine bzw. PAW eingesetzt werden, wenn Azure AD genutzt werden darf. Das bei WHFB verwendete Verfahren PRT (Primary Refresh Token) gilt im Moment als die modernste und sicherste Compound Authentifizierungsmethode in der Windows Welt. Das Ergebnis ist, dass man nicht nur intern, sondern überall auf der Welt per HTTPS und MFA sicher auf die internen Server zugreifen kann.

Bemerkung: Die Kursmodule von ASAI-1 wie PAW und SCAMA sowie die verschiedenen ESAE Szenarien werden im ASAI-2 Kurs nicht mehr behandelt.

ZIELGRUPPE
Das Seminar richtet besonders an die Enterprise und Domain Administratoren sowie IT-Sicherheitspersonal, die eine hochsichere AD Infrastruktur, angelehnt an das ESAE Tier-Modell, aufbauen und einrichten möchten. ASAI-2 erweitert die Sicherheit und die Reichweite von ASAI-1.
Langjährige Erfahrung mit Active Directory und Besuch des Intensivkurses ASAI-1 werden empfohlen!
Gute Kenntnisse in PKI oder Besuch des Kurses PKI2019 sind zu empfehlen, da fast alle Kursmodule zertifikatsbasierend sind.

NIVEAU
Level 5 — sehr anspruchsvoll!

DAUER
  4 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

09.03. - 12.03.2020 noch Plätze frei

Zur Anmeldung

PREIS
4.250,- € zzgl. Mwst. – inkl. Mittagessen 15,- € / Tag

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 09:00 - 17:00 Uhr
An Folgetagen 08:30 - 17:00 Uhr
Am letzten Tag 08:30 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

ASAI (Advanced Security AD Infrastructure) mit Bastion 'Red' Forest , Privileged Forest und Produktion Forests (Account, Resource)
ASAI (Advanced Security AD Infrastructure) mit Bastion "Red" Forest, Privileged Forest und Produktion Forests (Account, Resource)


Jump Server 1, 2, 3
Zugriff auf Jump Server vom Bastion Forest - Kerberos Resource Based Delegation


Kerberos Authentication mit PKINIT (RFC 4556)
Kerberos Authentication mit PKINIT (RFC 4556)


Device Registration - SSO + Conditional Access
Zugriff auf On-Premises Jump Server (Windows Admin Center) von Internet - SSO + Conditional Access


Bemerkung: Die einzelnen Kursbausteine werden laufend ergänzt.

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit, wenn Sie eine spezielle Sprachversion wie z.B. " Französisch" wünschen. Wir dürfen keine Volume License für Kurse nutzen!

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -