SADDD-L1
Securing Active Directory Deep Dive
Unser nlx.workshop im Überblick
In diesem Master-Class-Kurs steht das Thema Active-Directory-Sicherheit ganz zentral im Fokus. Mittlerweile sind diverse Angriffsszenarien bekannt, die beispielsweise beim Bundestagshack zum Einsatz gekommen sind (mimikatz et. al.). Diese Angriffsszenarien zielen auf Credential-Thefting oder auf Ransomeware-Implementierung ab.
Das Ziel dieses Workshops ist es, diese Szenarien zu verstehen, um sie in Zukunft verhindern zu können, und eine Active-Directory-Implementierung umzusetzen, die diesen Angriffen widersteht und auch gegen zukünftige Angriffe durchgehärtet ist.
Das Active Directory sind Ihre „Kronjuwelen“ – ohne Active Directory sind die meisten Firmenumgebungen produktiv komplett lahmgelegt.
Deswegen: verstehen, härten und überwachen, damit Sie besser schlafen können.
Schulungsumgebung
In der Schulungsumgebung wird komplett mit Hyper-V gearbeitet. Für den Aufbau der Schulungsumgebung nutzen wir ein PowerShell-Skript, mit dem Sie in Sekunden neue virtuelle Maschinen erstellen können. Das Skript wurde von Ihrem Trainer selber entwickelt und ermöglicht den Schulungsaufbau nach Wunsch des Kunden in extremer Schnelligkeit mit geringem Aufwand.
Jedem Teilnehmer steht ein dedizierter Server in einem Rechenzentrum mit insgesamt 1 Gbit-Anschluss ins Internet zur Verfügung. Jeder Teilnehmer-Server ist folgendermaßen ausgestattet:
- 128 GB RAM
- mind. 20 vCores
- 2 NVME-SSDs mit mind. 3.000 MB/s schreibend und mind. 2.000 MB/s lesend
- 1 Gbit ins Internet Gesamt-Bandbreite
- 5800 € zzgl. MwSt. inkl. Schulungsunterlage und Kursumgebung
- Seminarnummer: SADDD-L1Dauer: 5 Tage
Unser Trainer
Der Workshop wurde von Andy Wendel entwickelt und wird von ihm selbst und seinem erfahrenen Team durchgeführt.
Andy Wendel ist Senior-Datacenter- und Cloud-Architekt sowie Certified Security Master Specialization Advanced Windows Security. Diese Zertifizierung wird jedes Jahr erneuert. Ausgebildet wurde und wird er von den international renommierten Sicherheitsexpert*innen Paula Januszkiewicz und Sami Laiho.
Andy Wendel arbeitet seit Ende der 1990er Jahre als IT-Trainer und -Consultant und ist zudem zertifizierter Microsoft Learning Consultant (MCLC). Weltweit hat Microsoft nur 56 Certified Learning Consultants ausgezeichnet.
Agenda
- Wiederholung der Best Practices zur Installation von Domänencontrollern
- Hausgemachte Sicherheitsprobleme im Active Directory
- Kerberos verstehen
- NTLM vs. Kerberos
- SMB
- PAC_Validation und die Probleme mit der Microsoft-Implementierung von Kerberos
- PTH (Pass the Hash) – inklusive Live-Attacke
- Silver Ticket
- Golden Ticket
- Skeleton Key
- Kerberos Ticket Service
- Kerberos verstehen
- Kerberos-Passwörter ändern: warum und wie
- Kerberos-Passwörter ändern: der Königsweg ohne Ausfälle
- Credential-Thefting verhindern – Deep Dive
- Angriffsszenarien
- Credential-Thefting verhindern
- Angriffsszenarien
- Konzepte verstehen
- Tier-Modelle betreiben
- Red Forest, Golden Forest und Bastion Forest
- Single-Domain-Modell hochsicher
- Clean-Installation-Source
- Hash-Werte der *.iso-Dateien verifizieren
- Fciv.exe, Powershell, 7zip und IgorHasher
- Aufsetzen des ersten Domänencontrollers
- ms-ds-machineaccountquota verstehen
- redircmp einsetzen für neue Computersysteme
- redirusr einsetzen für neue User
- BitLocker
- AppLocker
- Monitoring
- Sicheres Backup und Recovery von BitLocker-geschützten Backup-Volumes
- Firewalling auf Domänencontrollern
- IPSec mit RDP konfigurieren
- Härten der Domänencontroller
- Aufsetzen weiterer Domänencontroller
- Secure Deployment von Domänencontrollern, Memberservern und Clients via MDT
- Installation und Konfiguration von MDT hochsicher
- Härtung von MDT-Servern
- Ausrollen hochsicherer Memberserver und Clients
- Domänencontroller sicher via IPSec betreiben
- IPSec konfigurieren und einsetzen
- IPSec-Monitoring via MMC
- PKI-Server aufsetzen als interne Trusted-ROOT-CA
- PKI konfigurieren
- Automatisches Zertifikatsdeployment aktivieren via Gruppenrichtlinien
- Enrollment von Nicht-Standard-Zertifikaten
- Härten der PKI
- Jump-Server und Priviliged Acccess Workstation (PAW) – Konzepte verstehen und umsetzen
- Jump-Server aufsetzen und konfigurieren
- Härten der Jump-Server
- PAW aufsetzen und konfigurieren
- Härten der Domänencontroller
- Jump-Server aufsetzen und konfigurieren
- Sicherheit in Domänennetzwerken
- 802.1X mit MAC-Adressen bzw. Zertifikaten
- MAC-Flooding auf Switchen
- IPSec mit Kerberos und Zertifikaten
- Windows Defender Advanced Threat Protection (WDATP)
Über das Seminar
In diesem Workshop erfahren Sie, wie Sie Active-Directory-Umgebungen hochsicher implementieren, konfigurieren und betreiben.
Das Active Directory ist „in die Jahre“ gekommen. Besonders sicherheitstechnisch sollte Active Directory niemals im Standardmodus betrieben werden. Angriffsszenarien wie Pass-the-Hash, Silver Ticket, Golden Ticket oder sogar Skeleton Key sind gängige Wege, um das Active Directory und somit User und dministratoren anzugreifen und die Identitäten zu übernehmen.
In diesem Master-Class-Kurs werden zuerst die Angriffsszenarien durchleuchtet und auch durchgeführt. Mit dem daraus gewonnenen Wissen wird das Active Directory grundlegend gehärtet. Dies betrifft sowohl vorhandene Installationen als auch neue Implementierungen.
In diesen Kurs fließen die Erfahrungen von über 50 Active-Directory-Konzepten ein, die der Trainer während der letzten 15 Jahre geschrieben hat – vom KMU bis zum Enterprise-Level mit 375.000 Benutzern. Das Thema Security wird auch in Bezug auf die General Data Protection Regulation (GDPR) betrachtet, die am 25. Mai 2018 in Kraft trat.
Wir versprechen: unser bestes Know-how für Sie und Ihre tagtägliche Arbeit von unseren erfahrensten Trainern und Consultants!
Zielgruppe
Dieser Kurs wendet sich an erfahrene Systemadministratoren, Consultants und Active-Directory-Designer.
Empfohlene Voraussetzungen
Die Teilnehmer sollten mindestens fünf Jahre Erfahrung mit Active Directory und Client-Systemen haben.
