Windows Start Up - Secure Channel

Intensivkurs ASAI

ASAI

Advanced Security AD Infrastructure

ESAE Security Modell - PAW (Privileged Access Workstation) - MIM PAM (Privileged Access Management) - Kerberos Sicherheitslöcher - Golden/Silver Tickets

Der Fokus dieses neuen "Advanced" Intensivkurses ist der Aufbau einer sicheren AD Infrastruktur nach dem Microsoft ESAE Referenzmodell (Enhanced Security Administrative Environment) mit Tier 0, Tier 1 und Tier 2 für eine Enterprise AD Umgebung ohne und mit einem zusätzlichen sicheren AD Bastion Forest (BF).
Die 3 Tiers werden als OUs unter dem Top Level ESAE für drei "virtuelle" (logische) Sicherheitszonen aufgebaut: AD+PKI (Tier 0), Exchange und andere Server (Tier 1) und Desktops (Tier 2), die die Administratoren, Gruppen und Server sowie PAW (Privileged Access Workstation) enthalten. Administratoren der 3 Tiers dürfen sich nur innerhalb ihrer Sicherheitszone mit ihren Tier-Konten bewegen.  Die Verwaltung soll möglichst immer von einem sicheren PAW (Tier 0) aus durchgeführt werden.
Auch ohne den zusätzlichen  BF kann ein bestehender AD Forest nach ESAE kostengünstig weitgehend sicher gemacht werden.  Als erste Maßnahme gegen evtl. laufende Angriffe wie Golden Tickets ist die sofortige Passwortänderung der wichtigsten Admin-Konten und Server (Krbtgt, Domain Admin, Service Konten, Server...).  Anschließend erfolgt der Aufbau der gesicherten ESAE Struktur innerhalb des Forests  und Umziehen der  Konten sowie Einführen neuer Sicherheitsmethoden (Smart Card Assurance etc.).
Für eine größere AD Infrastruktur mit mehreren AD Forests und gemeinsamen Ressource Forests ist es sinnvoll, einen neuen gesicherten BF als gemeinsamen Verwaltungsforest aufzubauen. Administratoren des  AD Golden Forests (GF) werden "entmachtet" und ihre Admin-Gruppen z.B. Domain Admins, Enterprise Admins etc.  werden durch durch MIM/PAM (Privileged Access Management) in den BF zu PAM Groups gespiegelt (Mirror). Die PAM Group speichert die objectSID der GF\Gruppen in ihrem Attribut msDS-ShadowPrincipalSID. Neue PAM-User (Time-based Admins) als Referenzobjekte der Administratoren von GF werden durch MIM/PAM in BF angelegt. Diese PAM-User können am PAM-Portal oder  via PAM-PowerShell bzw. REST API nach strengen PAM-Policies die "Time-Based" Mitgliedschaft der PAM-Gruppen beantragen und können dann den GF für eine definierte Zeit (Default 1 Std.) verwalten. Alle PAM User arbeiten an geschütztem PAW, um aus dem BF heraus einen oder mehrere  AD Account Forest (Golden Forest) inkl. Resource Forest  zu verwalten. Die Kommunikation von PAW aus ist durch IPsec verschlüsselt.
Exchange beeinflusst wie keine andere Applikation den gesamten AD Forest und wird daher im Kurs näher betrachtet. Wir zeigen die Unterschiede einer Standardinstallation von Exchange mit "RBAC Shared Permissions" und wie man doch besser in einer ESAE Umgebung mit "RBAC Split Permissions" oder gar noch sicherer mit "AD Split Permissions" arbeiten  soll.

ZIELGRUPPE
Das Seminar richtet sich an Enterprise und Domain Administratoren und besonders IT-Sicherheitspersonal, die eine neue Sichere AD Infrastructur, angelehnt an dem ESAE Tier-Modell aufbauen und einrichten möchten. 
Erfahrung mit Active Directory und PKI oder Besuch der Intensivkurse PKI und ADS 2016 wird vorausgesetzt!.

NIVEAU
★★★★★ — sehr anspruchsvoll!

DAUER
  4 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

18.04. - 21.04.2017 ausgebucht
06.06. - 09.06.2017 ausgebucht
04.07. - 07.07.2017 ausgebucht
04.09. - 07.09.2017 noch Plätze frei
09.10. - 12.10.2017 noch Plätze frei

Zur Anmeldung

PREIS
3.450,- € zzgl. Mwst. – inkl. Mittagessen 14,- € / Tag

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 10:00 - 17:30 Uhr
An Folgetagen 08:30 - 17:30 Uhr
Am letzten Tag 08:30 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

Das Ziel von diesem komplexen Intensivkurs ist der Aufbau einer sicheren AD Infrastruktur, angelehnt an dem Microsoft ESAE Modell (Enhanced Security Administrative Environment), welche durch diverse Kerberos Schwäche und AD Designfehler sowie Unachtsamkeit von Microsoft in den letzten Jahren notwendig geworden ist.
Das Kerberos Protokoll arbeitet mit Symmetric Key, um Kerberos Tickets (TGT, TGS) zu signieren und zu verschlüsseln. Wenn der Domain Master Key MKrbtgt = MD4(UTF-16(Krbtgt-Passwort) vom Hacker entwendet wurde, kann dieser ein sog. Kerberos Golden Ticket (TGT) mit beliebiger Gruppenzugehörigkeit (Enterprise, Domain Admin) durch Änderung des PAC Felds (Privileged Account Certificate) für sich erstellen. Er kann auch ein sog. Silver Ticket (TGS) erstellen, um sich unauffällig Zugang zu beliebigen Serverressourcen zu verschaffen. Selbst wenn die seit 2008 deaktivierte PAC Validierung wieder aktiviert  ist, validiert ein Windows Server die PAC Signaturen (Vergleich Krbtgt-Signatur und Serversignatur) bei einem DC nicht, wenn der zugegriffene Service z.B. LanmanServer unter LocalSystem läuft. Dies ist eindeutig ein AD Designfehler, der seit AD 2000 existiert. In dem veröffentlichten Protokolldokument [MS-PAC] ist dieses Fehlverhalten "By Design" zu lesen.

ASAI (Advanced Security AD Infrastructure) mit Bastion Forest und Golden Forest(s)
ASAI (Advanced Security AD Infrastructure) mit Bastion Forest und Golden Forest(s) sowie SCAMA

Enhanced Security Administrative Environment mit Tier 0, Tier 1 und Tier 2
Enhanced Security Administrative Environment mit Tier 0, Tier 1 und Tier 2

ESAE - Exchange RBAC Permissions Models - Resource Forest - Linked Role Groups
ESAE - Exchange RBAC Permissions Models - Resource Forest - Linked Role Groups (1)

Nach dem ESAE Referenzmodell soll die gesamte AD-Infrastruktur in 3 Tiers (logische Sicherheitszonen) aufgeteilt werden: Tier 0, Tier 1, Tier 2
ESAE setzt keinen zusätzlich geschützten Bastion Forest (BF) voraus!

Szenario 1: Mit einigen Sicherheitsmaßnahmen wie z.B. Credential Guard, RDP Restricted Admin Mode, Authentication Silo, Protected Users und insbesondere Smart Card Authentication  Mechanism Assurance (SCAMA) kann eine bestehende AD Infrastruktur mit 3 Tiers auch ohne BF (Szenario 1) weitgehend sicher gegen PtH (Pass The Hash) und PtT (Pass The Ticket) gestaltet werden. Diverse  Sicherheitsmaßnahmen sorgen dafür, dass Administratoren ihre Credentials bzw. ihre NT-Hash vom Passwort niemals auf nicht geschützten Maschinen hinterlassen, oder noch besser, dass bei einer Anmeldung überhaupt gar kein NT-Hash (z.b. mstsc /restrictedadmin) erzeugt wird. Dieses 1. Szenario  (ohne BF) praktizieren wir ausgiebig im Kurs! 
SCAMA erlaubt eine dynamische Mitgliedschaft zu einer Benutzergruppe erst nach einer Anmeldung mit Smart Card, die mit einer Issuance Policy verknüpft ist.

Durch einen zusätzlichen geschützten Verwaltungsforest oder Bastion Forest (BF)  und durch den Einsatz von MIM/PAM (Privileged Access Management) (Szenarion 2) kann die Sicherheit erheblich gesteigert werden , weil nicht der "echte" Administrator des gefährdeten Golden Forests (GF), sondern sein "Referenzkonto" (PAM User) im Bastion Forest (BF) eine "zeitbegrenzte" Mitgliedschaft von "mirrored" Admingruppen (PAM Group) bekommt, um den GF zu verwalten. Es wird also nicht mit dem "echten" Account (GF\Gruppen), sondern durch SID-Mirror quasi  mit einem zeitbegrenzten "Stellvertreter" gearbeitet. Ein BF ist geeignet für eine größere AD Infrastruktur, wenn z.B. mehrere AD Forests und Resource Forest durch One-Way Trust von einem gemeinsamen BF aus verwaltet werden muss.

Alle Administratoren MÜSSEN  ihre zuständigen Tiers immer von einem geschützten PAW (Privileged Access Workstation) aus verwalten.

Die Administratoren sowie ihre Gruppen und Computer werden nach ESAE in drei Tiers 0, 1 und 2 im BF aufgeteilt, die voneinander isolierte Sicherheitszonen darstellen:

Die Isolation kann softwaretechnisch (IPSec, Firewall, Group Policy etc), organisatorisch (Rollentrennung) oder/und physisch (Subnetze) erreicht werden.

Szenario 2: Die erste Maßnahme nach dem sicheren Aufbau des BF ist, das PAM-Feature in AD zu aktivieren und danach den Trust zum GF herzustellen. Die wichtigsten Gruppen wie Enterprise Admins, Schema Admins, Domain Admins und Built-In Administrators im BF sind umgehend zu entleeren und in den BF zu spiegeln. Die "vollständige" Entmachtung dieser Gruppen ist gefährlich, sodass man abweichend von ESAE eine Backup-Lösung haben sollte. Die Limitierung der SID History ist dank der Bitwertigkeit 1024 im Attribut "trustAttibuts" zu umgehen.

Im ASAI unterrichten wir auch eine andere Möglichkeit auch ohne Bastion Forest und MIM/PAM sicher genug arbeiten zu können (Szenario 1). Die wichtigsten Gruppen wie Enterprise Admins, Domain Admins werden nicht entmachtet. Nur für den Notfall bleibt ein einziges (max. 2) Admin-Konto als sog. "Break-Glass" Admin  in jeder Admin-Gruppe drin, falls Smart-Card nicht funktionieren sollte. Die anderen Admins werden aus diesen Gruppen entfernt und gehören dynamisch nur dann dazu, wenn sie sich mit Smart Card anmelden. Wir implementieren im Kurs das seit 2008 R2 verfügbare Feature "Smart Card Authentication Mechanism Assurance (SCAMA)". Alle Admins müssen melden sich nur noch mit Smart Card an sicheren PAW an. Nach der Anmeldung gehören sie dynamisch zu der jeweiligen Admin-Gruppe(n) und können ihren Golden Forest wie gewohnt verwalten. Die PAWs sind in diesem Fall im GF angesiedelt. SCAMA kann leider nicht für jede Applikation eingesetzt werden!.

Zum ESAE Modell gehört unbedingt PAW (Privileged Access Workstation), unabhängig davon, welches Szenario 1 oder 2, oder gar keine praktiziert wird!
Im ASAI-Kurs praktiziert jeder Teilnehmer selbst, wie sein Windows 10 Enterprise Rechner (evtl. mit TPM 2.0) durch diverse Tools und Sicherheits-/Firewallrichtlinien sowie Credential Guard zum PAW für die Tier 0 und Tier 1 Administratoren sicher gemacht werden kann. Administratoren müssen sich an ihrem dafür vorgesehenen PAW anmelden, am besten via MFA (Multi-Factor Authentication) z.B. mit Virtual Smart Card.

Der ASAI-Kurs besteht aus 5 Blöcken (Schwerpunkte):

Wir arbeiten im Kurs mit 3x AD-Forest mit registrierten Domänen:

ASAI-CENTER.DE    Bastion Forest (BF) = Zentralverwaltung mit MIM 2016 SP1 und SQL 2014/2016 AlwaysOn
ADS-CENTER.DE    Golden Forest (GF) = Produktions- bzw. Account Forest mit 2016
XCHANGE-CENTER.DE    Resource Forest mit u.a. Exchange 2016 Organisation

» Wir empfehlen als Ergänzung auch die Kurse ADS 2016 und PKI 2016 zu besuchen.

Die einzelnen Kursbausteine der Unterrichtsblöcke werden laufend ergänzt.

Windows Start Up - Secure Channel
Windows Start Up - Secure Channel

Windows Server Sicherheitszonen (Live im Kurs)
Windows Server Sicherheitszonen: IPSec - Firewall - RPC - DCOM - WMI

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit der gewünschten Sprachversion mit. Wir dürfen keine Volume License für Kurse nutzen!

- Vertrauen Sie unserer Kompetenz -