GROUP POLICY PROCESSING - Activity ID

Intensivkurs "Group Policy"

Administration von Group Policy

Kommunikation mit DC - Troubleshooting End-To-End Trace durch Activity-ID - Security Toolkit Policy Analyzer - PAW (Privileged Access Workstation) - WSUS

Wir unterrichten in diesem neu aufgelegten Kurs, nicht nur wie Group Policies und Preferences für Windows 10 (1803) und Windows Server 2016 korrekt eingesetzt werden können, sondern auch wie Group Policy intern arbeitet und wie man die Sicherheit von Windows Maschinen durch neue Group Policies erheblich steigern kann.
Mit Windows 10 (1709) wurde der Windows Defender massiv um zwei neue mächtige Features erweitert: Defender Exploit Guard und Defender Application Guard. Defender Exploit Guard bietet zum ersten Mal die Ordner im Benutzerprofile und auch andere Ordner gegen die Verschlüsselungstrojaner (Ramsomeware) zu schützen. Defender Application Guard für Edge sorgt dafür, dass eine Internet Sitzung in einem isolierten Container (Docker) läuft und somit den Windows Host nicht gefährden kann.
Die Kommunikation vom Gpsvc Service via NETLOGON über LDAP (AD) und SMB (SYSVOL) mit den Domain Controllern kann mit Hilfe der Events und die darin enthaltenen  Activity-IDs genau analysiert werden, um Troubleshooting effektiv betreiben zu können. Der Crimson Channel Event Provider Microsoft-Windows-GroupPolicy liefert klassifizierte Events, die detaillierte Auskunft darüber geben, in welcher der 3 Processing Phasen ein GPO sich befindet und was er tut, und ob es sich dabei um eine User oder Computerrichtlinie handelt, die bei einer Anmeldung (Logon » Foreground Processing) oder Hintergrundaktualisierung (Refresh » Background Processing) generiert wurde. Für die Bearbeitung und Analyse der Security Baselines wird im Kurs das Security Toolkit mit dem Policy Analyzer eingesetzt.
Das erworbene Wissen wird nun am dritten Tag angewandt, um ein im Moment sehr beegehrtes "Sicherheitspaket" zu kreieren und für den produktiven Einsatz in der Firma mitzunehmen. Teilnehmer praktizieren, wie ein Windows 10 Enterprise PAW (Privileged Access Workstation) "clean" installiert und u.a. mit Hilfe der Gruppenrichtlinien sehr sicher konfiguriert werden kann. Administratoren müssen künftig von einem PAW aus die Domäne und Applikationen verwalten. Durch diverse Sicherheitslöcher von Kerberos ist das Active Directory höchst gefährdet. Angreifer nutzen diese Schwäche, um Kerberos Golden Tickets (TGT) und Silver Tickets (TGS) mit beliebiger Identität zu erzeugen um unerlaubte Zugriffe auf die AD-Ressourcen zu erhalten. Um Active Directory effektiv zu schützen, ist das ESAE (Enhanced Security Administrative Environment) Sicherheitsmodell mit den drei Tiers: Tier 0, Tier 1 und Tier 2, unbedingt zu praktizieren. Dieser Group Policy Kurs trägt dazu bei ESAE zu realisieren.
» Mehr zu ESAE und PAW erfahren Sie in unserem Kurs ASAI (Advanced Security AD Infrastructure).

ZIELGRUPPE
Das Seminar richtet sich an Domain und Enterprise Administratoren, Server- und Desktop-Administratoren sowie IT-Sicherheitspersonal.
Erfahrung mit Windows und Active Directory.

NIVEAU
★★★★☆ — ziemlich anspruchsvoll

DAUER
3 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

13.11. - 15.11.2018 noch Plätze frei

Zur Anmeldung

PREIS
2.250,- € zzgl. Mwst. – inkl. Mittagessen 14,- € / Tag

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 09:00 - 17:00 Uhr
Am zweiten Tag 08:30 - 17:00 Uhr
Am letzten Tag 08:30 - 16:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

Folgende Themen werden im Kurs behandelt:

Zu Beginn werden die Grundlagen von Gruppenrichtlinien vermittelt. Die mehrstufigen lokalen Richtlinien wurden mit Windows VISTA und 2008 eingeführt. Auch die ADM Vorlagen werden durch neue ADMX und ADML ersetzt, die in einem CentralStore in SYSVOL liegen sollen. Windows 7 / 10 und Windows Server 2012 R2 / 2016 bringen einige neue Richtlinien mit, die wir im Kurs auch kennenlernen. Im Kurs arbeiten wir mit einer ESAE (Enhanced Security Administrative Environment) OU-Hierarchie, die wir auch in unserem ASAI Kurs praktizieren. Die Wirkungsbereiche von GPO sowie deren Vererbung und Filterung werden erläutert und durch mehrere Übungen praktiziert.

Der Schwerpunkt Troubleshooting wurde stark erweitert: Group Policy Events Klassifizierung und End-To-End Trace durch Activity ID. Mit VISTA wurde Group Policy general überholt und umgebaut. Group Policy bringt nicht nur einen eigenen Service mit, sondern erzeugt auch einen eigenen Event Log (Microsoft-Windows-Group Policy\Operational), der alle Events der Group Policy Verarbeitung auf einem Computer enthält.

Diese Events sind klassifiziert und erleichtern somit die Fehlersuche:

- Computerstart Event 4000 (Information), 6000 (Warning), 7000 (Error), 8000 (Sucess)
- User Logon 4001, 6001, 7001, 8001
- Computer Manual Refresh 4004, 6004, 7004, 8004
- User Manual Refresh 4005, 6005, 7005, 8005
- Computer Periodic Refresh 4006, 6006, 7006, 8006
- User Periodic Refresh 4007, 6007, 7007, 8007

Um Fehler leichter zu finden, muss man die drei Phasen der Group Policy Verarbeitung auch unbedingt kennen:

Die Pre-Processing Phase ist die komplexeste und auch langwierigste Phase, in der wiederum mehrere Schritte durchgeführt werden müssen, bevor ein GPO (Group Policy Object) für Computer und Benutzer ausgeführt werden kann:

Durch die Event-Klassifizierung der drei Verarbeitungsphasen von Gruppenrichtlinien kann man zwar die einzelnen Events interpretieren, aber erst zusammen mit dem End-To-End Event Tracing für Group Policy mit Hilfe der Activity-ID und dem Filtern der Events mit XPath, kann der gesamte Verarbeitungszyklus, z. B. User Logon, oder Computerstart analysiert werden. Ab VISTA sind die Events im XML-Format, deren Inhalt nur mit XPath-Filter effektiv durchsucht werden kann.

Neben den "normalen" Group Policies und Preferences sind die Security Baselines immer wichtiger! Zum Abschluss wird daher am dritten Tag ein "Sicherheitspaket" mit einigen Sicherheitsrichtlinien und GPOs kreiert, um einen "braven" aber "clean" installierten Windows 10 Enterprise zu einer hochsicheren PAW (Privileged Access Workstation) zu machen. Dabei wird das Security Toolkit mit dem Policy Analyzer eingesetzt, um die Security Baselines zu analysieren und mit anderen Baselines (Referenz) zu vergleichen.
Die PAWs müssen regelmäßig über WSUS die Feature und Security Updates bekommen.

» Wir empfehlen als Ergänzung zu diesem Kurs unsere Kurse Windows 10 und Windows Server 2016.

GROUP POLICY PROCESSING - Activity ID
Group Policy Processing - Activity ID

GROUP POLICY - Client Side Extensions - PREFERENCES
Kommunikation zwischen Gpsvc und DC - Client Side Extensions - PREFERENCES

Privileged Access Workstations (PAW) in einer ESAE Infrastruktur (Quelle: NT SYSTEMS)
Privileged Access Workstations (PAW) in einer ESAE Infrastruktur (Quelle: NT SYSTEMS)

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit der gewünschten Sprachversion mit. Wir dürfen keine Volume License für Kurse nutzen!

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -