Windows Start Up - Secure Channel

Intensivkurs "PowerServer II"

Advanced Administration Windows Server & Security

(Erweitert um Windows 10 & Windows Server 2016 TPM 2.0 Features)


Secure Channel - SMB Internals - WMI - DCOM - RPC - BitLocker - WMIC - UEFI Secure Boot - Device Health Attestation - Host Guardian Service - Shielded VMs



Achtung! Dieser Kurs wird in dieser Form nicht mehr angeboten - Besuchen Sie den umfangreichen Kurs "ASAI" in 2017.


* ASAI (Advanced Secure AD Infrastructure)

TPM 2.0 - Device Health Attestation - Host Guardian Service - Shielded VMs
Der Fokus dieses "Advanced" Intensivkurses ist die Tiefe von Windows Server 2016 zu erforschen. Es geht nicht nur um die Protokolle wie RPC und DCOM sowie SMB, sondern schwerpunktmäßig um die Serversicherheit und die neuen Schutzmechanismen von Windows 10 und Server 2016 mit TPM 2.0.
Der Kurs ist von erfahrenen Serveradministratoren für die Kollegen konzipiert, die einen Windows Server näher verstehen und auch schützen möchten.

ZIELGRUPPE
Das Seminar richtet sich an Serveradministratoren, Support-Ingenieure, Domänenadministratoren, IT-Sicherheitsbeauftragte und Security Auditoren bzw. IT-Revisoren.
Erfahrung mit Windows Server oder Besuch des Intensivkurses Administration Windows Server 2016 ist von Vorteil.

NIVEAU
★★★★★ — sehr anspruchsvoll

DAUER
  5 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

Zur Anmeldung

PREIS
3.650,- € zzgl. Mwst. – inkl. Mittagessen 14,- € / Tag

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 10:00 - 17:30 Uhr
An Folgetagen 09:00 - 17:30 Uhr
Am letzten Tag (Freitag) 09:00 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

Dieser Intensivkurs ergänzt den Windows Server 2016 Administration Kurs, setzt diesen jedoch nicht voraus. Die Themen RPC, DCOM, WMIC und SMB sowie Advanced ETW (Event Tracing for Windows) werden jedoch erst in diesem Kurs behandelt werden. Neue Kursschwerpunkte sind u.a. Virtualized Based Security mit LSA Credential Guard, Docker Container und UEFI Secure Boot sowie ELAM Treiber und Windows Defender (Windows Server 2016), die ein Serveradministrator sich unbedingt auch aneignen soll. Pflicht für alle Windows Server 2016 und Windows 10 Administratoren sowie Sicherheitsspezialisten sind die neuen Sicherheitsfeatures, die TPM 2.0 voraussetzen:

Wir haben daher diesen Kurs von 4 auf 5 Tage erweitert, um solche neue sehr wichtige Themen einbringen zu können. Dafür wurden einige neue Tower Server sowie Surface Books mit TPM 2.0 angeschafft.

Im ersten Block beschäftigen wir uns mit dem Secure Channel, also auch mit dem Beitritt eines Windows-Rechners in die Domäne. Jede Windows Maschine unterhält als Member einer Domäne einen sog. Secure Channel mit einem Domänencontroller, dessen Aufbau bei dem Domänenbeitritt im Kurs untersucht wird. Detailliertes Wissen über den Secure Channel ist für jeden Serveradministrator ein MUSS, denn er hat sehr viel mit der Serversicherheit und NETLOGON zu tun. Das Computerpasswort spielt bei der Sicherheit eine sehr große Rolle, da daraus der Masterkey für diverse Verschlüsselungen abgeleitet wird. Beispielsweise wird der Master Key (Long-Term Key) für die RC4-HMAC Verschlüsselung der Kerberos Pre-Authentication Daten (Padata) verwendet. Auch der Session Key für den Aufbau des Secure Channels zwischen einem Client und seinem Anmelde-DC wird aus dem Master Key errechnet. Wir lernen das Computerpasswort zu ändern, um zu simulieren, wann ein Secure Channel "broken" ist und wie er repariert werden kann. Ein Serveradministrator sollte außerdem die lokale SAM (Security Account Manager) Datenbank und die Active Directory NTDS Datenbank kennen, um die verschlüsselt gespeicherten Password-Hash (LM und NTLM) von Computern und Benutzern zu lokalisieren.

Sehr wichtig sind die Themen LSA Protection und Credential Guard (Windows 10 / Server 2016), die wir grundsätzlich jetzt in JEDEM Kurs unterrichten. Die lokale SAM und auch der LSA Cache, in dem die Credentials (Benutzername/Passwort) aber auch die Smart Card PIN einer aktuellen Anmeldung im Memory zwischengespeichert sind, müssen unbedingt geschützt werden. Ein Angreifer kann sogar remote den LSA Cache eines Windows Clients oder Servers auslesen, um an die Passwörter von Administratoren (lokal und Domänenadministrator) zu gelangen. Der Angreifer kann danach die Domäne oder gar den gesamten AD Forest durch sog. Golden Ticket (Kerberos TGT Ticket) in Besitz nehmen. Die CyberAttacke (siehe Bundestag), wahrscheinlich durch Golden Ticket und Silver Ticket (Kerberos TGS Service Ticket), erschüttert im Moment die gesamte AD Welt. Wir wollen Sie deswegen frühzeitig darauf vorbereiten.

Im zweiten "grossen" Block werden die Remote Zugriffe auf die Serverressourcen analysiert, die bei einem "geschützten" Windows 2016 bzw. 2012 R2 Server mehrere Hürden passieren müssen, um auf die unterschiedlichen Ressourcen gelangen zu können:
» Verbindungssicherheit (IPSec) » Firewall » RPC » DCOM-Sicherheit » WMI-Sicherheit » User Account Control (UAC) & WIC (Windows Integrity Control) » NTFS & Share Berechtigung.

Die Windows Firewall with Advanced Security (WFAS) integriert eine Firewall mit IPSec und AuthIP. WFAS kann somit Benutzer- bzw. Computer-Authentifizierung per Kerberos vor einem Zugriff durchführen. Wir nutzen die sog. "Domain Isolierung" als äußerste Sicherheitsgrenze, um einen Windows 2012 Server vor "fremden" Zugriffen zu schützen. Ein Zugriff auf eine Ressource verlangt i.d.R. immer eine Authentifizierung, ein Impersonation Level Privileg und letztendlich eine Autorisierung durch Berechtigungen. WMI-Namespaces werden durch Security Descriptoren geschützt, sodass nicht jeder auf die WMI-Objektklassen und somit Daten zugreifen kann. Zu den zu schützenden Systemressourcen gehören auch die DCOM-Objekte, die eigene Security Descriptoren besitzen, und somit eine Autorisierung von RPC-Zugriff verlangen. RPC (Remote Procedure Call) ist in der Windows-Welt neben Named Pipes immer noch der mächtigste und meist eingesetzte Interprozess-Kommunikation Mechanismus. Der RPC-Client baut eine Verbindung mit einem RPC-Server auf, indem er einen RPC-Binding String (RPC-Protokoll, UUID der Anwendung...) dem RPC-Server übermittelt. Der RPC-Port Mapper (Port 135) sorgt dafür, dass der Client den Serverport des RPC-Interfaces (Serveranwendung) findet. Je nach Sicherheitsanforderung muss das geforderte RPC-Authentication Level vom Client erfüllt werden. Parallel zu RPC lernen wir, wie Remote Zugriffe mit WinRM/WinRS via HTTPS (WS-Management) und PowerShell (PS-Session) durch Firewall konfiguriert werden können.

Im dritten Block geht es um den Themenschwerpunkt SMB (Server Message Block). SMB 3.0 (oft als 2.2 bezeichnet) wurde in Windows 8 und Windows Server 2012 implementiert, mit der die Performance des Zugriffs auf einen File Server durch SMB-Multichannel erheblich gesteigert werden kann. Windows 10 und Windows Server 2016 arbeiten mit der erweiterten Version 3.1.1, auf der die neuen Features S2D (Storage Spaces Direct) und SR (Storage Replication) basieren. Während im Kurs PowerServer-I das neue Feature SMB-Multichannel ausführlich behandelt wird, befassen wir uns in diesem Kurs mehr mit der SMB-Negotiation, SMB-Signing und SMB-Encryprion. Ein Domain Controller signiert jedes SMB-Paket von einem GPO (Group Polcy Object), wenn ein Client dies von SYSVOL "download". Dabei lernen wir die unterschiedlichen SMB-Signaturen kennen: Abhängig von Client-OS werden die Signatur-Algorithmen MD5, HMAC-SHA-256,AES-CMAC-128 eingesetzt.

- CIFS 1.0 Windows NT 4.0
- SMB 1.0 Windows 2000, XP, 2003
- SMB 2.002 Windows VISTA, Server 2008
- SMB 2.1 Windows 7, Server 2008-R2
- SMB 3.0 Windows 8, Server 2012 » SMB-Multichannel, SMB-Direct (RDMA), SMB-Encryption
- SMB 3.1.1 Windows 10, Server 2016 » Security, Storage Replication, Storage Spaces Direct

Im vierten Block praktizieren wir, wie man mit BitLocker einen Domain Controller gegen einen "Cold Start" Angriff schützen kann. Im Zusammenspiel mit dem TPM-Chip des Rechners hilft BitLocker nicht nur die gesamte Betriebssystem-Partition C:\ zu verschlüsseln, sondern auch die gesamte Bootstrecke gegen Veränderung zu schützen. BitLocker Unlock und Recovery Methoden sorgen mit Hilfe von Active Directory dafür, dass BitLocker in einer Enterprise Umgebung zentral verwaltet werden kann.

Im fünten Block wird der Schwerpunkt Event Tracing for Windows (ETW) behandelt. Seit VISTA ist ETW für das gesamte Event-Management sowohl für User-Mode als auch für Kernel-Mode Events zuständig. Events und Event Traces werden von diversen Event-Providern in die ETW-Sessions (In-Memory Buffer) geschrieben, um Trace Logs (*.etl) zu liefern. Beispielsweise schreiben mehrere Event Provider die Sicherheitsereignisse in den Security Log. Während die "alten" Classic Event Provider nur die "legacy" Primary Channel Logs bedienen, versorgen die neuen XML-Manifest basierten Event Provider auch die neuen Crimson Channel Logs. Neu bei Windows 10 und 2016 ist der TraceLogging Provider, der auch auf ETW setzt und aber kein Manifest mehr braucht.
Ab VISTA sind die Events (*.evtx) und Traces (*.etl) im XML-Format und ermöglichen auch eine detaillierte Suche mit Hilfe von XPath-Filtern. Anhand von Group Policy Events lernen wir im Kurs wie man mit Hilfe von XPath-Filter und Activity-ID alle Events eines Group Policy Zykluses (Thread) finden kann, um evtl. Probleme und Performance in den verschiedenen Verarbeitungsphasen zu analysieren. Mit Tools wie XPerf, Wevtutil, Logman und PowerShell lernen wir, wie ETW-Sessions für User-Mode und auch für Kernel-Mode Provider eingerichtet werden können. Das WPT (Windows Performance Toolkit) ist neben Xperf prädestiniert dafür, die *.etl Trace Logs von Event Providern verschiedener Szenarien zu sammeln (WPR) und zu analysieren (WPA).
Auch die Sicherheit der Eventlogs kann durch SDDL (Security Definition and Description Lanaguage) modifiziert werden, sodass beispielsweise neben den Administratoren auch die Gruppe Security-Auditoren auf die Security Logs zugreifen kann.

Im sechsten Block kümmern wir uns um die Windows Server Services, dazu gehören Service Hardening, SCM (Service Control Manager), Triggered Services, UBPM (Unified Background Process Manager) sowie die speziellen Service-Berechtigungen und wie diese in SDDL konfiguriert werden können. Die Themen UAC (User Account Control) & Virtual Store sowie WIC (Windows Integrity Control) werden in diesem Kurs ausführlicher behandelt, die zum Teil im Kurs PowerServer-I auch angesprochen werden.

Im letzten Block werden die neuen Sicherheitsthemen von Windows 10 und Windows Server 2016, die TPM 2.0 voraussetzen, behandelt. Um dies zu ermöglichen, ist eine umfangreiche Infrastruktur notwendig. Der Host Guardian Service (HGS) ist in einem eigenen AD Forest und auf einem 2016 Cluster hoch verfügbar. Die Hyper-V Server inkl. Nano Server mit TPM 2.0 und Device Health Attestation (Guarded Host) werden von HGS überwacht. Die VMs auf diesen Guarded Hosts werden mit BitLocker verschlüsselt. Der BitLocker Encryption Volume Master Key (VMK) wird wiederum durch vTPM (Virtual TPM 2.0) geschützt. HGS sorgt dafür, dass nur berechtigte Administratoren diesen VMK durch den Transport Key (TK) von HGS unlocked werden kann. So können wichtige VMs wie DC (Domain Controller) und CA (Certificate Authority) gegen "böse" Hyper-V Administratoren geschützt werden (Shielded VMs). HGS bekommt Signing und Encryption Zertifikate von einem zweistufigen 2016 PKI. Wir zeigen auch im Kurs die Zusammenarbeit zwischen SCCM 1606 und Microsoft Intune, um Windows 10 Smart Phones und Windows 10 Desktop zu kontrollieren. "Ungesunde" Devices können kontrolliert werden, dass sie durch diverse Policies nicht auf wichtige Ressourcen wie Exchange zugreifen können.

»
Wir empfehlen als Ergänzung auch die Kurse Windows Server 2016 Administration, Kerberos und PKI2016 zu besuchen.

Windows Start Up - Secure Channel
Windows Start Up - Secure Channel

Windows Server Sicherheitszonen (Live im Kurs)
Windows Server Sicherheitszonen (Live im Kurs)

Server Massage Block - SMB 3.0
Server Massage Block - SMB 3.0

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit der gewünschten Sprachversion mit. Wir dürfen keine Volume License für Kurse nutzen!

1. Block: Secure Channel & Netlogon - Computer Passwort

2. Block: Zugriffe auf Windows Server Ressourcen

3. Block: SMB (Server Message Block): Negotiation, Signing, Encryption, Multichannel, Tuning

4. Block: BitLocker mit TPM - Schutz Domain Controller vor "Cold Start"

5. Block: ETW (Event Tracing for Windows) - Analyse Group Policy Events mit Activity ID

6. Block: Service Hardening

7. Optional: UAC & Virtual Store - WIC - Alternative Data Stream (Wenn die Zeit zulässt!)

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -