Windows Start Up - Secure Channel

Intensivkurs ASAI

ASAI

Advanced Security AD Infrastructure

ESAE Modell - PAW (Privileged Access Workstation) - SCAMA (Authentication Mechanism Assurance) - Bastion Forest - PIM Trust - msDS-ShadowPrincipal

Der Fokus dieses "Advanced" Intensivkurses ist der Aufbau einer sicheren AD Infrastruktur nach dem Microsoft ESAE Referenzmodell (Enhanced Security Administrative Environment) mit Tier 0, Tier 1 und Tier 2 für eine Enterprise AD Umgebung mit oder ohne einem zusätzlichen sicheren AD Bastion Forest (BF), auch "Red Forest" genannt. Zwei Besonderheiten von der ESAE-Realisierung nach NT SYSTEMS ist das Arbeiten mit SCAMA (Smart Card Authentication Mechanism Assurance) und die Kombination von SCAMA mit msDS-ShadowPrincipal in einem Bastion Forest. Administrative Konten vom Produktionsforest sind durch SCAMA "unsichtbar" für Angreifer!

In einem ESAE Modell werden die 3 Tiers als OUs unter der Top Level OU ESAE für drei logische Sicherheitszonen aufgebaut: AD+PKI+ADFS (Tier 0), Exchange und andere Server (Tier 1) und Desktops (Tier 2), die die Administratoren, Gruppen und Server sowie PAW (Privileged Access Workstation) enthalten. Administratoren der 3 Tiers dürfen sich nur innerhalb ihrer Sicherheitszone mit ihren Tier-Konten bewegen. Die Verwaltung soll ausschließlich von einer sicheren PAW aus durchgeführt werden.

Szenario 1: "Einfache Unsichtbarkeit" des Administrators
Auch ohne den zusätzlichen Bastion Forest kann ein bestehender AD Forest kostengünstig und schnell durch ESAE nach unserer SCAMA Methode abgesichert werden. Als erste Maßnahme gegen evtl. laufende Angriffe wie Golden Tickets ist nach einer sorgfältigen Vorbereitung, am besten nach dem ASAI-Kursbesuch, die sofortige Entleerung der wichtigsten Sicheheitsgruppen (Domain Admins, Enterprise Admins,...) und die mehrmalige (> 2) Passwortänderung der wichtigsten Admin-Konten, sowie das besonders zu behandelnden Krbtgt Konto. Die Administratoren z. B. T0-DomTPham, T1-SQLSHegenberg, T2-HelpDskSWiesner melden sich dann mit SCAMA an einer sicheren PAW an, um ihre Domäne zu verwalten.

» Weil die Gruppenzugehörigkeit erst nach der SCAMA-Anmeldung auf dem Kerberos Ticket geschieht, bleibt dieser Admin unsichtbar!

Szenario 2: Multi-AD Forest mit gemeinsamem Verwaltungsforest (Bastion Forest) > wird durch das Szenario 3 ersetzt!

Admin-Gruppen z. B. Domain Admins, Enterprise Admins etc. werden durch MIM/PAM (Privileged Access Management) zu PAM Groups (msDS-ShadowPrincipal) im Bastion Forest gespiegelt (Mirror). Im Objekt msDS-ShadowPrincipal (PAM Group) wird die objectSID der Quellgruppe vom Produktionsforest in ihrem Attribut msDS-ShadowPrincipalSID gespeichert (gespiegelt). Neue PAM-User (Time-based Admins) als Referenzobjekte der Administratoren vom Produktionsforest werden durch MIM/PAM in BF angelegt. Diese PAM-User können am PAM-Portal oder via PAM-PowerShell bzw. REST API nach strengen PAM-Policies die "Time-Based" Mitgliedschaft einer oder mehrerer PAM-Gruppen beantragen und können dann an einem sicheren PAW den Produktionsforest für eine definierte Zeit (Default 1 Std.) verwalten.

Dieses Szenario setzt das Produkt MIM/PAM und auch Sharepoint voraus und wird durch unsere weiter entwickelte SCAMA Methode im Szenarion 3  ersetzt!

Szenario 3: "Zweifache Unsichtbarkeit" des Administrators

Es werden im Bastion Forest administrative Universal Gruppen für den jeweiligen Produktionsforest für SCAMA z. B. ADS-T0-DomAdmins, ADS-T0-EntAdmins per PowerShell angelegt. Administratoren melden sich am PAW mit SCAMA im Bastion Forest zentral an und können durch die "indirekte" Mitgliedschaft der angelegten msDS-ShadowPrincipal z. B. ADS-T0-DomAdmins ihren ADS-Produktionsforest verwalten. Durch die feste Zuordnung einer Admin-Gruppe durch SCAMA mit dem zugehörigen msDS-ShadowPrincipal ist ein MIM/PAM Workflow überflüssig.

» Für eine Enterprise Umgebung mit mehreren AD Forests ist dieses Szenario von NT SYSTEMS das BESTE!

Szenario 4+5: Exchange beeinflusst wie keine andere Applikation den gesamten AD Forest und wird daher im Kurs näher betrachtet. Wir zeigen die Unterschiede einer Standardinstallation von Exchange mit "RBAC Shared Permissions" zu "RBAC Split Permissions" oder in einer sicheren ESAE Umgebung mit "AD Split Permissions". Für Exchange in einem Ressource Forest haben wir die Szenarien 4 und 5,wo SCAMA in Kombination mit Linked Role Groups eingestzt werden kann.

SCCM & SCOM:
RBAC basierte SCOM und SCCM werden konfiguriert, sodass sie auch mit SCAMA arbeiten können.

Demo: Microsoft Advanced Threat Analytics (ATA)

ZIELGRUPPE
Das Seminar richtet sich besonders an Enterprise und Domain Administratoren sowie IT-Sicherheitspersonal, die eine neue Sichere AD Infrastruktur, angelehnt an dem ESAE Tier-Modell aufbauen und einrichten möchten.
Erfahrung mit Active Directory und PKI oder Besuch des Intensivkurses PKI wird vorausgesetzt!.

NIVEAU
★★★★★ — sehr anspruchsvoll!

DAUER
  4 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

09.09. - 12.09.2019 ausgebucht
05.11. - 08.11.2019 ausgebucht
16.12. - 19.12.2019 noch Plätze frei
04.02. - 07.02.2020 noch Plätze frei
31.03. - 03.04.2020 noch Plätze frei
26.05. - 29.05.2020 noch Plätze frei
21.07. - 24.07.2020 noch Plätze frei

Zur Anmeldung

PREIS
3.950,- € zzgl. Mwst. – inkl. Mittagessen 15,- € / Tag

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 09:00 - 17:00 Uhr
An Folgetagen 08:30 - 17:00 Uhr
Am letzten Tag 08:30 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

Das Ziel von diesem komplexen Intensivkurs ist der Aufbau einer sicheren AD Infrastruktur, angelehnt an das Microsoft ESAE Modell (Enhanced Security Administrative Environment), welches durch diverse Kerberos Schwäche und AD Designfehler sowie Unachtsamkeit von Microsoft in den letzten Jahren notwendig geworden ist. Anders als diverse Implementierung des ESAE Modells durch Microsoft und andere Systemhäuser, praktizieren wir bei NT SYSTEMS unsere hoch sichere und elegante Methoden SCAMA in einem Forest oder in Kombination mit Spiegelobjekt msDS-ShadowPrincipal in einem Bastion Forest. SCAMA sorgt dafür, dass ein Benutzer als Administrator "unsichtbar" wird. Er ist nur dann Administrator auf dem Kerberos Ticket (PAC-Feld), wenn er sich mit SCAMA anmeldet.

Das Kerberos Protokoll arbeitet mit Symmetric Key, um Kerberos Tickets (TGT, TGS) zu signieren und zu verschlüsseln. Wenn der Domain Master Key MKrbtgt = MD4(UTF-16(Krbtgt-Passwort) vom Hacker entwendet wird, kann dieser ein sog. Kerberos Golden Ticket (TGT) mit beliebiger Gruppenzugehörigkeit (Enterprise, Domain Admin) durch Änderung des PAC Felds (Privileged Account Certificate) für sich erstellen. Er kann auch ein sog. Silver Ticket (TGS) anlegen, um sich unauffällig Zugang zu beliebigen Serverressourcen zu verschaffen. Selbst wenn die seit 2008 deaktivierte PAC Validierung wieder aktiviert ist, validiert ein Windows Server die PAC Signaturen (Vergleich Krbtgt-Signatur und Serversignatur) bei einem DC nicht, wenn der zugegriffene Service z. B. LanmanServer unter LocalSystem läuft. Dies ist eindeutig ein AD Designfehler, der seit AD 2000 existiert. In dem veröffentlichten Protokolldokument [MS-PAC] ist dieses Fehlverhalten "By Design" zu lesen.

ASAI (Advanced Security AD Infrastructure) mit Bastion Forest und Golden Forest(s)
ASAI (Advanced Security AD Infrastructure) mit Bastion "Red" Forest und Produktion Forests (Golden Forests)

Enhanced Security Administrative Environment mit Tier 0, Tier 1 und Tier 2
ESAE (Enhanced Security Administrative Environment) mit Tier 0, Tier 1 und Tier 2

ESAE Realisierung: Szenario I und III (mit SCAMA ohne MIM/PAM), Szenario II (mit MIM/PAM)
ESAE Realisierung: Szenario I und III (mit SCAMA ohne MIM/PAM) - Szenario II (mit MIM/PAM)

ESAE Realisierung: Szenario IV und V (mit SCAMA und Exchange Resource Forest)
ESAE Realisierung: Szenario IV und V (mit SCAMA und Exchange Resource Forest)

Nach dem ESAE Referenzmodell soll die gesamte AD-Infrastruktur in 3 Tiers (logische Sicherheitszonen) aufgeteilt werden: Tier 0, Tier 1, Tier 2
ESAE setzt keinen zusätzlich geschützten Bastion Forest (BF) voraus!

Szenario 1: Mit einigen Sicherheitsmaßnahmen wie z. B. Credential Guard, RDP Restricted Admin Mode, Authentication Silo, Protected Users und insbesondere Smart Card Authentication Mechanism Assurance (SCAMA) kann eine bestehende AD Infrastruktur mit 3 Tiers auch ohne BF weitgehend sicher gegen PtH (Pass The Hash) und PtT (Pass The Ticket) gestaltet werden. Diverse Sicherheitsmaßnahmen sorgen dafür, dass Administratoren ihre Credentials bzw. ihre NT-Hash vom Passwort niemals auf nicht geschützten Maschinen hinterlassen, oder noch besser, dass bei einer Anmeldung überhaupt gar kein NT-Hash (z. B. mstsc /restrictedadmin) erzeugt wird. SCAMA erlaubt eine dynamische Mitgliedschaft zu einer Benutzergruppe erst nach einer Anmeldung mit Smart Card, die mit einer Issuance Policy verknüpft ist. Administratoren sind durch SCAMA nicht nur "unsichtbar", auch der 16-Bytes NTLM-Hash von ihrem Benutzerkonto wird durch die Zwang-Smart Card Anmeldung mit 128 zufälligen Zeichen überschrieben.
Dieses 1. Szenario (ohne BF) ist geeignet für eine Umgebung mit nur einem AD Produktions-Forest.

Im ASAI unterrichten wir SCAMA - eine elegante Methode, um auch ohne Bastion Forest und MIM/PAM sicher genug arbeiten zu können. Die wichtigsten Gruppen wie Enterprise Admins, Domain Admins werden nicht entmachtet, sondern nur entleert. Für den Notfall bleibt ein einziges (max. 2) Admin-Konto als sog. "Break-Glass" Admin mit Passwort-Anmeldung in jeder Admin-Gruppe, falls Smart Card nicht funktionieren sollte. Die anderen Admins werden aus diesen Gruppen entfernt und gehören dynamisch nur dann dazu, wenn sie sich mit Smart Card anmelden. Wir implementieren im Kurs das seit 2008 R2 verfügbare Feature "Smart Card Authentication Mechanism Assurance (SCAMA)". Alle Admins müssen sich nur noch mit Smart Card an sicheren PAW anmelden. Nach der Anmeldung gehören sie dynamisch zu der jeweiligen Admin-Gruppe(n) und können ihren Golden Forest wie gewohnt verwalten. SCAMA kann leider nicht für jede Applikation eingesetzt werden, die u.a. Role-Based Authentication einsetzt.

Szenario 2: Dieses Szenario wurde, wegen der umständlichen Bedienung durch Szenario 3 vollkommen ersetzt und wird daher im Kurs nicht mehr behandelt!
Durch einen zusätzlichen geschützten Verwaltungsforest oder Bastion Forest (BF), auch "Red Forest" genannt, und durch den Einsatz von MIM/PAM (Privileged Access Management) kann die Sicherheit des Produktionsforests erheblich gesteigert werden , weil nicht der "echte" Administrator des gefährdeten Produktionsforests (Golden Forests = GF), sondern sein "Referenzkonto" (PAM User) im Bastion Forest (BF) eine "zeitbegrenzte" Mitgliedschaft von "mirrored" Admin-Gruppen (PAM Group) bekommt, um den GF zu verwalten. Es wird also nicht mit dem "echten" Account (GF\Gruppen), sondern durch SID-Mirror quasi mit einem zeitbegrenzten "Stellvertreter" gearbeitet. Ein BF ist geeignet für eine größere AD Infrastruktur, wenn z. B. mehrere AD Forests und Resource Forest durch One-Way Trust von einem gemeinsamen BF aus verwaltet werden müssen.
Das Szenario 2 wird durch das von uns entwickelte Szenario 3 auch ohne MIM/PAM, jedoch mit SCAMA stark vereinfacht, da ein PAM-Workflow durch feste Zuordnung einer Rolle z. B. Domain Admins zu einer Universal Group für SCAMA nicht notwendig ist.

Szenario 3: In einer Multi-Forest Umgebung wird der zentrale Bastion Forest benötigt. Der Unterschied zu Szenario 2 ist, dass kein MIM/PAM in diesem Forest eingesetzt werden muss. Wie in Szenario 1 werden für jeden zu verwaltenden Produktionsforest Universal Group für SCAMA angelegt. Administratoren melden sich per SCAMA an ihrem PAW an und können durch den One-Way Trust und durch die "Indirekte" Mitgliedschaft des msDS-ShadowPrincipal ihren Produktionsforest verwalten.
Dieses Szenario 3 ist das BESTE Szenario für alle Umgebungen, besonders für eine Multi-Forest Umgebung!

PAW (Privileged Access Workstation)
Alle Administratoren MÜSSEN ihre zuständigen Tiers immer von einem geschützten PAW aus verwalten. Ein PAW ist zwar "tierunabhängig", aber in der Regel werden sie für die verschiedenen Tiers separiert.
Im ASAI-Kurs praktiziert jeder Teilnehmer selbst, wie sein Windows 10 Enterprise Rechner (evtl. mit TPM 2.0) durch diverse Tools und Sicherheits-/Firewallrichtlinien sowie Credential Guard zum PAW für die Tier 0 und Tier 1 Administratoren sicher gemacht werden kann. Administratoren müssen sich an ihrem dafür vorgesehenen PAW anmelden, am besten via MFA (Multi-Factor Authentication) z. B. mit Virtual Smart Card.

Die Administratoren sowie ihre Gruppen und Computer werden nach ESAE in drei Tiers 0, 1 und 2 im BF aufgeteilt, die voneinander isolierte Sicherheitszonen darstellen:

Die Isolation kann softwaretechnisch (IPSec, Firewall, Group Policy etc.), organisatorisch (Rollentrennung) oder/und physisch (Subnetze) erreicht werden.

Der ASAI-Kurs besteht aus 6 Blöcken (Schwerpunkte):

Wir arbeiten im Kurs mit 3x AD-Forest mit registrierten Domänen:

ASAI-CENTER.DE    Bastion Forest (BF) = Zentralverwaltung mit MIM 2016 SP1 und SQL 2014/2016 AlwaysOn
ADS-CENTER.DE    Golden Forest (GF) = Produktions- bzw. Account Forest mit 2016
XCHANGE-CENTER.DE    Resource Forest mit u.a. Exchange 2016 Organisation

» Wir empfehlen als Ergänzung den Kurs PKI 2016/2019 zu besuchen.

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit, wenn Sie eine spezielle Sprachversion wie z.B. " Französisch" wünschen. Wir dürfen keine Volume License für Kurse nutzen!

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -