GROUP POLICY PROCESSING - Activity ID

Intensivkurs "Group Policy"

Administration von Group Policy

Kommunikation mit DC - Troubleshooting End-To-End Trace durch Activity-ID - Security Toolkit Policy Analyzer - PAW (Privileged Access Workstation) - WSUS


Wir unterrichten in diesem neu aufgelegten Kurs, nicht nur wie Group Policies und Preferences für Windows 10 und Windows Server 2016 korrekt eingesetzt werden können, sondern auch wie Group Policy intern arbeitet. Die Kommunikation vom Gpsvc Service via NETLOGON über LDAP (AD) und SMB (SYSVOL) mit den Domain Controllern kann mit Hilfe der Events und die darin enthaltenen  Activity-IDs genau analysiert werden, um Troubleshooting effektiv betreiben zu können. Der Crimson Channel Event Provider Microsoft-Windows-GroupPolicy liefert klassifizierte Events, die detaillierte Auskunft darüber geben, in welcher der 3 Processing Phasen ein GPO sich befindet und was er tut, und ob es sich dabei um eine User oder Computerrichtlinie handelt, die bei einer Anmeldung (Logon » Foreground Processing) oder Hintergrundaktualisierung (Refresh » Background Processing) generiert wurde. Für die Bearbeitung und Analyse der Security Baselines wird im Kurs das Security Toolkit mit dem Policy Analyzer eingesetzt.
Das erworbene Wissen wird nun am dritten Tag angewandt, um ein im Moment sehr beegehrtes "Sicherheitspaket" zu kreieren und für den produktiven Einsatz in der Firma mitzunehmen. Teilnehmer praktizieren, wie ein Windows 10 Enterprise PAW (Privileged Access Workstation) "clean" installiert und u.a. mit Hilfe der Gruppenrichtlinien sehr sicher konfiguriert werden kann. Administratoren müssen künftig von einem PAW aus die Domäne und Applikationen verwalten. Durch diverse Sicherheitslöcher von Kerberos ist das Active Directory höchst gefährdet. Angreifer nutzen diese Schwäche, um Kerberos Golden Tickets (TGT) und Silver Tickets (TGS) mit beliebiger Identität zu erzeugen um unerlaubte Zugriffe auf die AD-Ressourcen zu erhalten. Um Active Directory effektiv zu schützen, ist das ESAE (Enhanced Security Administrative Environment) Sicherheitsmodell mit den drei Tiers: Tier 0, Tier 1 und Tier 2, unbedingt zu praktizieren. Dieser Group Policy Kurs trägt dazu bei ESAE zu realisieren.
» Mehr zu ESAE und PAW erfahren Sie in unserem Kurs ASAI (Advanced Security AD Infrastructure).

ZIELGRUPPE
Das Seminar richtet sich an Domain und Enterprise Administratoren, Server- und Desktop-Administratoren sowie IT-Sicherheitspersonal.
Erfahrung mit Windows und Active Directory.

NIVEAU
★★★★☆ — ziemlich anspruchsvoll

DAUER
3 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

12.09. - 14.09.2017 noch Plätze frei

Zur Anmeldung

PREIS
2.250,- € zzgl. Mwst. – inkl. Mittagessen 14,- € / Tag

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 10:00 - 17:30 Uhr
An Folgetagen 09:00 - 17:30 Uhr
Am letzten Tag 09:00 - 16:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

Folgende Themen werden im Kurs behandelt:

Zu Beginn werden die Grundlagen von Lokalen und Gruppenrichtlinien vermittelt. Die mehrstufigen lokalen Richtlinien werden mit Windows VISTA und 2008 eingeführt. Auch die ADM Vorlagen werden durch neue ADMX und ADML ersetzt, die in einem CentralStore in SYSVOL liegen sollen. Windows 7 / 10 und Windows Server 2012 R2 / 2016 bringen einige neue Richtlinien mit, die wir im Kurs auch kennenlernen. Im Kurs arbeiten wir mit einer ESAE (Enhanced Security Administrative Environment) OU-Hierarchie, die wir auch in unserem ASAI Kurs praktizieren. Die Wirkungsbereiche von GPO sowie deren Vererbung und Filterung werden erläutert und durch mehrere Übungen praktiziert.

Der Schwerpunkt Troubleshooting wurde stark erweitert: Group Policy Events Klassifizierung und End-To-End Trace durch Activity ID. Mit VISTA wurde Group Policy general überholt und umgebaut. Group Policy bringt nicht nur einen eigenen Service mit, sondern erzeugt auch einen eigenen Event Log (Microsoft-Windows-Group Policy\Operational), der alle Events der Group Policy Verarbeitung auf einem Computer enthält.

Diese Events sind klassifiziert und erleichtern somit die Fehlersuche:

- Computerstart Event 4000 (Information), 6000 (Warning), 7000 (Error), 8000 (Sucess)
- User Logon 4001, 6001, 7001, 8001
- Computer Manual Refresh 4004, 6004, 7004, 8004
- User Manual Refresh 4005, 6005, 7005, 8005
- Computer Periodic Refresh 4006, 6006, 7006, 8006
- User Periodic Refresh 4007, 6007, 7007, 8007

Um Fehler leichter zu finden, muss man die 3x Phasen der Group Policy Verarbeitung auch unbedingt kennen:

Die Preprocessing Phase ist die komplexeste und auch langwierigste Phase, in der wiederum mehrere Schritte durchgeführt werden müssen, bevor ein GPO (Group Policy Object) für Computer und Benutzer ausgeführt werden kann:

Durch die Event-Klassifizierung der 3x Verarbeitungsphasen von Gruppenrichtlinien kann man zwar die einzelnen Events interpretieren, aber erst zusammen mit dem End-To-End Event Tracing für Group Policy mit Hilfe der Activity-ID und das Filtern der Events mit XPath kann der gesamte Verarbeitungszyklus z. B. User Logon oder Computerstart analysiert werden. Ab VISTA sind die Events im XML-Format, deren Inhalt nur mit XPath-Filter effektiv durchsucht werden kann.

Neben den "normalen" Group Policies und Preferences sind die Security Baselines immer wichtiger! Zum Abschluß wird daher am dritten Tag ein "Sicherheitspaket" mit einigen Sicherheitsrichtlinien und GPOs kreiert, um einen "braven" aber "clean" installierten Windows 10 Enterprise in einen hochsicheren PAW (Privileged Access Workstation) zu machen. Dabei wird das Security Toolkit mit dem Poliy Analyzer eingesetzt, um die Security Base Lines zu analysieren und mit anderen Base Lines (Referenz) zu verwandeln.
Die PAW müssen regelmäßig über WSUS die Feature und Security Updates bekommen. Die Konfiguration von WSUS wird auch im Kurs durchgeführt.

» Wir empfehlen als Ergänzung zu diesem Kurs unseren Kurs Windows 10 und Windows Server 2016.

GROUP POLICY PROCESSING - Activity ID
Group Policy Processing - Activity ID

GROUP POLICY - Client Side Extensions - PREFERENCES
Kommunikation zwischen Gpsvc und DC - Client Side Extensions - PREFERENCES

Privileged Access Workstations (PAW) in einer ESAE Infrastruktur (Quelle: NT SYSTEMS)
Privileged Access Workstations (PAW) in einer ESAE Infrastruktur (Quelle: NT SYSTEMS)

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit der gewünschten Sprachversion mit. Wir dürfen keine Volume License für Kurse nutzen!

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -