Windows Start Up - Secure Channel

Intensivkurs ASAI-2

ASAI-2 - Hybrid Authentication

  Extended ESAE - SCAMA & MAMA - Jump Server - Kerberos - ADFS - WS-* - OAuth2 – Conditional Access - Windows Hello For Business & "Hello SCAMA"

Dieser neue projektorientierte und ziemlich komplexe ASAI-2 "Hybrid Authentication" Intensivkurs ist für alle Administratoren und besonders für alle ASAI-1 Absolventen gedacht, die in der Praxis eine hoch sichere Multi-Forest Enterprise AD-Umgebung mit 2016 Bastion Forests aufbauen möchten. ASAI-2 erweitert den Kurs ASAI-1 (eingeschränkt auf Kerberos) und somit ESAE um die Hybrid Authentication mit ADFS, Jump Server, MAMA ,CBWA Portal , OAuth2 OBO (On-Behalf Of), Firewall und im Zusammenspiel mit Azure AD auch Windows Hello For Business.
In ASAI-2 werden auch die neuesten zertifikatsbasierenden Kerberos Erweiterungen für Windows 10 und Windows Server 2016 unterrichtet, die dafür sorgen, dass kein Computerpasswort und Benutzer-Passwort für die Verschlüsselung der Kerberos Nachrichten eingesetzt werden müssen. PKINIT und FAST sowie Compound Authentication sollen pflicht sein in einem Bastion Forest.
Jump Server (Nr. 1) dient als Sammelpunkt für die zentrale HTTPS Remote Administration von mehreren Servern in einem Produktion Forest. Von einer "zertifizierten" PAW (PAPA-MAMA) in einem Bastion Forest aus gehen Administratoren auf den Jump Server um von dort aus andere Server in diesem Produktionsforest zu verwalten.
Weitere Jump Server Typen (Nr. 2 und Nr. 3) mit Modern Authentication (OpenID Connect und OAuth2) sorgen für die Zusammenarbeit zwischen Kerberos Based und Token Based Authentication, wenn der Benutzer vom Internet mit HTTPS via WAP und ADFS 2016 auf den internen Jump Server zugreift um interne Server zu verwalten.
CBWA Portal (Claims Based Web Application) ermöglicht Benutzen und Business Partnern auch ausserhalb einer Kerberos Umgebung die gemeinsame Nutzung von internen Web Anwendungen.
MAMA sorgt neben SCAMA und Authentication Policy dafür, dass alle Bastion Forest Admins sehr sicher an zertifizierten PAWs arbeiten können. Anstelle von Virtual Smart Card für SCAMA kann Windows Hello For Business (WHFB) eingesetzt werden, wenn TPM 2.0 vorhanden ist und Azure AD genutzt werden darf. Wir nennen diese Erweiterung "Hello SCAMA", die sowohl die Benutzeridentität mit Device Identität kombiniert und aus dem TPM 2.0 Public Key Pairs generiert. Das verwendete Verfahren PRT (Primary Refresh Token) gilt im Moment als die modernste und sicherste Authentifizierungsmethode in der Windows Welt.
Um solche komplexe Umgebung betreiben zu können, wird u.a. ein umfangreiches Wissen der Authentifizierungsprotokolle Kerberos und WS-Federation sowie OAUTH2 und OpenID Connect verlangt. ADFS und WAP übernehmen an den Authentifizierungsübergängen sowohl die Protokollumwandlung (Protocol Transition) als auch die Token-Umwandlung (Windows Access Token, SAML-Security Token, JSON Access Token). Wir zeigen im ASAI-2 auch Azure MFA in Kombination mit ADFS.
Bemerkung: Die Kursmodule von ASAI-1 wie PAW und SCAMA sowie die verschiedenen ESAE Szenarien werden im ASAI-2 Kurs nicht mehr ausführlich behandelt.

ZIELGRUPPE
Das Seminar richtet besonders an die Enterprise und Domain Administratoren sowie IT-Sicherheitspersonal, die eine hochsichere AD Infrastruktur, angelehnt an das ESAE Tier-Modell, aufbauen und einrichten möchten. Anders als ASAI-1 (Kerberos Based) wird im ASAI-2 eine "Extended" ESAE mit ADFS (Token Based) praktiziert.
Langjährige Erfahrung mit Active Directory und Besuch des Intensivkurses ASAI-1 werden für den 1. Kerberos Teil vorausgesetzt!.
Gute Kenntnisse in PKI oder Besuch des Kurses PKI sind notwendig, da fast alle Kursmodule zertifikatsbasierend sind.

NIVEAU
★★★★★ — sehr anspruchsvoll!

DAUER
  5 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

26.11. - 30.11.2018 ausgebucht
25.02. - 01.03.2019 noch Plätze frei
06.05. - 10.05.2019 noch Plätze frei

Zur Anmeldung

PREIS
 4.450,- € zzgl. Mwst. – inkl. Mittagessen 14,- € / Tag
(4.550,- € zzgl. Mwst. – inkl. Mittagessen 16,- € / Tag – ab 2019)

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 09:00 - 17:00 Uhr
An Folgetagen 08:30 - 17:00 Uhr
Am letzten Tag 08:30 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

ASAI (Advanced Security AD Infrastructure) mit Bastion 'Red' Forest , Privileged Forest und Produktion Forests (Account, Resource)
ASAI (Advanced Security AD Infrastructure) mit Bastion "Red" Forest , Privileged Forest und Produktion Forests (Account, Resource)


Jump Server 1, 2, 3
Jump Server 1, 2, 3


Kerberos Authentication mit PKINIT (RFC 4556)
Kerberos Authentication mit PKINIT (RFC 4556)


          Bemerkung: Die einzelnen Kursbausteine werden laufend ergänzt.

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit der gewünschten "spezielle z.B. Französisch" Sprachversion mit. Wir dürfen keine Volume License für Kurse nutzen! Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -