Windows Start Up - Secure Channel

Intensivkurs ASAI

ASAI

Advanced Security AD Infrastructure

ESAE  Modell - PAW (Privileged Access Workstation)  -  MIM PAM (Privileged Access Management)  -  SCAMA (Smart Card Authentication Mechanism Assurance)

Der Fokus dieses neuen "Advanced" Intensivkurses ist der Aufbau einer sicheren AD Infrastruktur nach dem Microsofts ESAE Referenzmodell (Enhanced Security Administrative Environment) mit Tier 0, Tier 1 und Tier 2 für eine Enterprise AD Umgebung ohne und mit einem zusätzlichen sicheren AD Bastion Forest (BF), auch "Red Forest" genannt. Zwei Besonderheiten von ESAE nach NT SYSTEMS ist das Arbeiten mit SCAMA (Smart Card Authentication Mechanism Assurance) und die Kombination von SCAMA mit msDS-ShadowPrincipal auch ohne MIM/PAM in einem Bastion Forest. Administrative Konten vom  Produktionsforest sind somit "unsichtbar" für Angreifer!
In einem ESAE Modell werden die 3 Tiers als OUs unter der Top Level OU ESAE für drei "virtuelle" (logische) Sicherheitszonen aufgebaut: AD+PKI (Tier 0), Exchange und andere Server (Tier 1) und Desktops (Tier 2), die die Administratoren, Gruppen und Server sowie PAW (Privileged Access Workstation) enthalten. Administratoren der 3 Tiers dürfen sich nur innerhalb ihrer Sicherheitszone mit ihren Tier-Konten bewegen.  Die Verwaltung soll möglichst immer von einem sicheren PAW (Tier 0) aus durchgeführt werden.
Szenario 1: Auch ohne den zusätzlichen  BF kann ein bestehender AD Forest kostengünstig und schnell nach ESAE sicher gemacht werden.  Als erste Maßnahme gegen evtl. laufende Angriffe wie Golden Tickets ist nach einer sorgfältigen Vorbereitung, am besten nach dem ASAI-Kursbesuch, die sofortige Entleerung der wichtigsten Sicheheitsgruppen (Domain Admins, Enterprise Admins...) und die mehrmaliger (> 2) Passwortänderung der wichtigsten Admin-Konten und Serverkonten sowie das Konto Krbtgt. Administratoren z.B. T0-DomTPham, T1-SQLSHegenberg, T2-HelpDskSWiesner melden sich dann mit SCAMA an sicherem PAW an um ihre Domäne zu verwalten.
Szenario 2: Multi-AD Forest mit gemeinsamen Verwaltungsforest, sog. Bastion Forest (Red Forest)
Für eine größere AD Infrastruktur mit mehreren AD Forests und gemeinsamen Ressource Forests ist es sinnvoll, einen neuen gesicherten BF als gemeinsamen Verwaltungsforest aufzubauen. Administratoren im AD Produktionsforest (Account, Golden Forest) werden "entmachtet", d.h. aus allen Admin-Gruppen entfernt. Diese Admin-Gruppen z.B. Domain Admins, Enterprise Admins,  etc.  werden durch MIM/PAM (Privileged Access Management) zu PAM Groups (msDS-ShadowPrincipal) im BF gespiegelt (Mirror). Im Objekt msDS-ShadowPrincipal (PAM Group) wird die objectSID der Quellgruppe vom Produktionsforest in ihrem Attribut msDS-ShadowPrincipalSID gespeichert (gespiegel). Neue PAM-User (Time-based Admins) als Referenzobjekte der Administratoren vom Produktionsforest werden durch MIM/PAM in BF angelegt. Diese PAM-User können am PAM-Portal oder  via PAM-PowerShell bzw. REST API nach strengen PAM-Policies die "Time-Based" Mitgliedschaft einer oder mehrerer PAM-Gruppen beantragen und können dann an einem sicheren PAW den Produktionsforest für eine definierte Zeit (Default 1 Std.) verwalten.
Szenario 3: Im Bastion Forest wird auf MIM/PAM verzichtet!
Es werden im Bastion Forest administrative Universal Gruppen für den jeweiligen Produktionsforest für SCAMA angelegt. z.B. ADS1-T0-DomAdmins, ADS2-T0-EntAdmins.
Administratoren melden sich am PAW mit SCAMA in Bastion Forest zentral an und können durch die "indirekte" Mitgliedschaft der angelegten msDS-ShadowPrincipal z.B. ADS1.T0-DomAdmins ihren ADS1-Produktionsforest verwalten. Durch die feste Zuordnung einer Admin-Gruppe durch SCAMA mit dem zugehörigen msDS-ShadowPrincipal ist ein MIM/PAM Workflow überflüssig. Für eine Enterprise Umgebung mit mehreren AD Forests ist dieses Szenario von NT SYSTEMS das BESTE !
Exchange beeinflusst wie keine andere Applikation den gesamten AD Forest und wird daher im Kurs näher betrachtet. Wir zeigen die Unterschiede einer Standardinstallation von Exchange mit "RBAC Shared Permissions" und wie man doch besser in einer ESAE Umgebung mit "RBAC Split Permissions" oder gar noch sicherer mit "AD Split Permissions" arbeiten  soll. Auch "inter-Tiers" Anwendungen wie SCOM und SCCM werden im Kurs besprochen.

ZIELGRUPPE
Das Seminar richtet sich besonders an Enterprise und Domain Administratoren sowie IT-Sicherheitspersonal, die eine neue Sichere AD Infrastructur, angelehnt an dem ESAE Tier-Modell aufbauen und einrichten möchten. 
Erfahrung mit Active Directory und PKI oder Besuch der Intensivkurse PKI und ADS 2016 wird vorausgesetzt!.

NIVEAU
★★★★★ — sehr anspruchsvoll!

DAUER
  4 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

18.04. - 21.04.2017 ausgebucht
06.06. - 09.06.2017 ausgebucht
04.07. - 07.07.2017 ausgebucht
04.09. - 07.09.2017 ausgebucht
09.10. - 12.10.2017 ausgebucht
14.11. - 17.11.2017 noch Plätze frei

Zur Anmeldung

PREIS
3.450,- € zzgl. Mwst. – inkl. Mittagessen 14,- € / Tag

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 10:00 - 17:30 Uhr
An Folgetagen 08:30 - 17:30 Uhr
Am letzten Tag 08:30 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

Das Ziel von diesem komplexen Intensivkurs ist der Aufbau einer sicheren AD Infrastruktur, angelehnt an dem Microsoft ESAE Modell (Enhanced Security Administrative Environment), welche durch diverse Kerberos Schwäche und AD Designfehler sowie Unachtsamkeit von Microsoft in den letzten Jahren notwendig geworden ist.
Das Kerberos Protokoll arbeitet mit Symmetric Key, um Kerberos Tickets (TGT, TGS) zu signieren und zu verschlüsseln. Wenn der Domain Master Key MKrbtgt = MD4(UTF-16(Krbtgt-Passwort) vom Hacker entwendet wird, kann dieser ein sog. Kerberos Golden Ticket (TGT) mit beliebiger Gruppenzugehörigkeit (Enterprise, Domain Admin) durch Änderung des PAC Felds (Privileged Account Certificate) für sich erstellen. Er kann auch ein sog. Silver Ticket (TGS) erstellen, um sich unauffällig Zugang zu beliebigen Serverressourcen zu verschaffen. Selbst wenn die seit 2008 deaktivierte PAC Validierung wieder aktiviert ist, validiert ein Windows Server die PAC Signaturen (Vergleich Krbtgt-Signatur und Serversignatur) bei einem DC nicht, wenn der zugegriffene Service z.B. LanmanServer unter LocalSystem läuft. Dies ist eindeutig ein AD Designfehler, der seit AD 2000 existiert. In dem veröffentlichten Protokolldokument [MS-PAC] ist dieses Fehlverhalten "By Design" zu lesen.

ASAI (Advanced Security AD Infrastructure) mit Bastion Forest und Golden Forest(s)
ASAI (Advanced Security AD Infrastructure) mit Bastion "Red" Forest und Produktion Forests (Golden Forests)

Enhanced Security Administrative Environment mit Tier 0, Tier 1 und Tier 2
Enhanced Security Administrative Environment mit Tier 0, Tier 1 und Tier 2

SAE Realisierung: Szenario 1 und 3 (mit SCAMA ohne MIM/PAM), Szenario 2 (mit MIM/PAM)
ESAE Realisierung: Szenario 1 und 3 (mit SCAMA ohne MIM/PAM), Szenario 2 (mit MIM/PAM)

ESAE - Exchange RBAC Permissions Models - Resource Forest - Linked Role Groups
ESAE - Exchange RBAC Permissions Models - Resource Forest - Linked Role Groups (1)

Nach dem ESAE Referenzmodell soll die gesamte AD-Infrastruktur in 3 Tiers (logische Sicherheitszonen) aufgeteilt werden: Tier 0, Tier 1, Tier 2
ESAE setzt keinen zusätzlich geschützten Bastion Forest (BF) voraus!

Szenario 1: Mit einigen Sicherheitsmaßnahmen wie z.B. Credential Guard, RDP Restricted Admin Mode, Authentication Silo, Protected Users und insbesondere Smart Card Authentication  Mechanism Assurance (SCAMA) kann eine bestehende AD Infrastruktur mit 3 Tiers auch ohne BF weitgehend sicher gegen PtH (Pass The Hash) und PtT (Pass The Ticket) gestaltet werden. Diverse Sicherheitsmaßnahmen sorgen dafür, dass Administratoren ihre Credentials bzw. ihre NT-Hash vom Passwort niemals auf nicht geschützten Maschinen hinterlassen, oder noch besser, dass bei einer Anmeldung überhaupt gar kein NT-Hash (z.b. mstsc /restrictedadmin) erzeugt wird. SCAMA erlaubt eine dynamische Mitgliedschaft zu einer Benutzergruppe erst nach einer Anmeldung mit Smart Card, die mit einer Issuance Policy verknüpft ist. Administratoren sind durch SCAMA nicht nur "unsichtbar", auch der 16-Bytes NTLM-Hash von ihrem Benutzerkonto wird durch die Zwang-Smart Card Anmeldung mit 128 zufälligen Zeichen überschrieben.
Dieses 1. Szenario (ohne BF) ist geeignet für eine Umgebung mit nur einem AD Produktion Forest.

Im ASAI unterrichten wir SCAMA eine elegante Methode auch ohne Bastion Forest und MIM/PAM sicher genug arbeiten zu können. Die wichtigsten Gruppen wie Enterprise Admins, Domain Admins werden nicht entmachtet, sondern nur entleert. Für den Notfall bleibt ein einziges (max. 2) Admin-Konto als sog. "Break-Glass" Admin mit Passwort-Anmedlung in jeder Admin-Gruppe, falls Smart-Card nicht funktionieren sollte. Die anderen Admins werden aus diesen Gruppen entfernt und gehören dynamisch nur dann dazu, wenn sie sich mit Smart Card anmelden. Wir implementieren im Kurs das seit 2008 R2 verfügbare Feature "Smart Card Authentication Mechanism Assurance (SCAMA)". Alle Admins müssen sich nur noch mit Smart Card an sicheren PAW anmelden. Nach der Anmeldung gehören sie dynamisch zu der jeweiligen Admin-Gruppe(n) und können ihren Golden Forest wie gewohnt verwalten. SCAMA kann leider nicht für jede Applikation eingesetzt werden, die u.a. Role-Based Authentication einsetzt.

Szenarion 2: Durch einen zusätzlichen geschützten Verwaltungsforest oder Bastion Forest (BF), auch "Red Forest" genannt, und durch den Einsatz von MIM/PAM (Privileged Access Management) kann die Sicherheit des Produktionsforests erheblich gesteigert werden , weil nicht der "echte" Administrator des gefährdeten Produktionsforests ( Golden Forests = GF), sondern sein "Referenzkonto" (PAM User) im Bastion Forest (BF) eine "zeitbegrenzte" Mitgliedschaft von "mirrored" Admingruppen (PAM Group) bekommt, um den GF zu verwalten. Es wird also nicht mit dem "echten" Account (GF\Gruppen), sondern durch SID-Mirror quasi mit einem zeitbegrenzten "Stellvertreter" gearbeitet. Ein BF ist geeignet für eine größere AD Infrastruktur, wenn z.B. mehrere AD Forests und Resource Forest durch One-Way Trust von einem gemeinsamen BF aus verwaltet werden muss.

Dieses Szenario 2 ist geeignet für eine Umgebung mit mehreren AD Forests. Es kann auch mit SCAMA kombiniert werden.
Das Szenarion 2 wird durch das von uns entwickelte Szenario 3 auch ohne MIM/PAM, jedoch mit SCAMA stark vereinfacht, da ein PAM-Workflow durch feste Zuordnung einer Rolle z.B. Domain Admins zu einer Universal Group für SCAMA nicht notwendig ist.

Szenario 3: In einer Multi-Forest Umgebung wird der zentrale Bastion Forest benötigt. Der Unterschied zu Szenario 2 ist, dass kein MIM/PAM in diesem Forest eingesetzt werden muss. Wie im Szenario 1 werden für jeden zu verwaltende Produktionsforest Universal Gruppen für SCAMA angelegt. Administratoren melden sich per SCAMA an ihrem PAW und können durch den One-Way Trust und durch die "Indirekte" Mitgliedschaft des msDS-ShadowPrincipal ihren Produktionsforest verwalten.
Dieses Szenario 3 ist das BESTE Szenario für alle Umgebungen, besonders für eine Multi-Forest Umgebung!

PAW (Privileged Access Workstation)
Alle Administratoren MÜSSEN ihre zuständigen Tiers immer von einem geschützten PAW aus verwalten. Ein PAW ist zwar "tierunabhängig", aber in der Regel werden sie für die verschiedene Tiers separiert.
Im ASAI-Kurs praktiziert jeder Teilnehmer selbst, wie sein Windows 10 Enterprise Rechner (evtl. mit TPM 2.0) durch diverse Tools und Sicherheits-/Firewallrichtlinien sowie Credential Guard zum PAW für die Tier 0 und Tier 1 Administratoren sicher gemacht werden kann. Administratoren müssen sich an ihrem dafür vorgesehenen PAW anmelden, am besten via MFA (Multi-Factor Authentication) z.B. mit Virtual Smart Card.

Die Administratoren sowie ihre Gruppen und Computer werden nach ESAE in drei Tiers 0, 1 und 2 im BF aufgeteilt, die voneinander isolierte Sicherheitszonen darstellen:

Die Isolation kann softwaretechnisch (IPSec, Firewall, Group Policy etc), organisatorisch (Rollentrennung) oder/und physisch (Subnetze) erreicht werden.

Der ASAI-Kurs besteht aus 6 Blöcken (Schwerpunkte):

Wir arbeiten im Kurs mit 3x AD-Forest mit registrierten Domänen:

ASAI-CENTER.DE    Bastion Forest (BF) = Zentralverwaltung mit MIM 2016 SP1 und SQL 2014/2016 AlwaysOn
ADS-CENTER.DE    Golden Forest (GF) = Produktions- bzw. Account Forest mit 2016
XCHANGE-CENTER.DE    Resource Forest mit u.a. Exchange 2016 Organisation

» Wir empfehlen als Ergänzung auch die Kurse ADS 2016 und PKI 2016 zu besuchen.

Die einzelnen Kursbausteine der Unterrichtsblöcke werden laufend ergänzt.

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit der gewünschten Sprachversion mit. Wir dürfen keine Volume License für Kurse nutzen!

- Vertrauen Sie unserer Kompetenz -