Sichere Windows-Infrastrukturen

Produktbeschreibung

Assume the breach! Heutzutage ist nicht mehr die Frage, ob Ihre Infrastruktur Ziel eines Angriffs wird, sondern ob Sie darauf gewappnet sind. Microsoft gibt Ihnen dazu einen Reihe Werkzeuge an die Hand, und dieser Leitfaden zeigt Ihnen, wie Sie sie richtig einsetzen. Mit den richtigen Administrationsmethoden erschweren Sie so den Angriff und sorgen dafür, dass wichtige Daten sicher bleiben und kein Schaden entsteht. Zahlreiche Best Practices und Hinweise aus der Praxis erklären Ihnen, wie Sie Ihre Systeme absichern und sich auf den Ernstfall vorbereiten.

Aus dem Inhalt:

* Angriffsmethoden und Werkzeuge

* Systeme härten und sichere Administration

* Authentifizierungsprotokolle

* Least-Privilege-Prinzip und Tier-Modell

* Credential Guard und Remote Credential Guard

* Admin Forest

* PAM-Trust

* Administration: Just in time and just enough

* Patch-Management mit WSUS

* PKI und CA

* Auditing: ATA und ATP

* Monitoring und Reporting 

Inhaltsverzeichnis

Materialien zum Buch ... 15


Geleitwort des Fachgutachters ... 17


1. Sichere Windows-Infrastrukturen ... 19


1.1 ... Warum Sicherheitsmaßnahmen? ... 19

1.2 ... Wer hinterlässt wo Spuren? ... 20

1.3 ... Was sollten Sie von den Vorschlägen in diesem Buch umsetzen? ... 20



2. Angriffsmethoden ... 23


2.1 ... Geänderte Angriffsziele oder »Identity is the new perimeter« und »Assume
the breach« ... 23

2.2 ... Das AIC-Modell ... 24

2.3 ... Angriff und Verteidigung ... 26

2.4 ... Offline-Angriffe auf das Active Directory ... 38

2.5 ... Das Ausnutzen sonstiger Schwachstellen ... 38



3. Angriffswerkzeuge ... 41


3.1 ... Testumgebung ... 41

3.2 ... Mimikatz ... 43

3.3 ... DSInternals ... 58

3.4 ... PowerSploit ... 61

3.5 ... BloodHound ... 63

3.6 ... Deathstar ... 63

3.7 ... Hashcat und Cain & Abel ... 63

3.8 ... Erhöhen der Rechte ohne den Einsatz von Zusatzsoftware ... 65

3.9 ... Kali Linux ... 68



4. Authentifizierungsprotokolle ... 71


4.1 ... Domänenauthentifizierungsprotokolle ... 71

4.2 ... Remotezugriffsprotokolle ... 95

4.3 ... Webzugriffsprotokolle ... 96



5. Ein Namenskonzept planen und umsetzen ... 97


5.1 ... Planung ... 97

5.2 ... Umsetzung ... 99



6. Das Tier-Modell ... 125


6.1 ... Grundlagen eines Tier-Modells ... 125

6.2 ... Das Tier-Modell gemäß den Empfehlungen Microsofts ... 128

6.3 ... Erweitertes Tier-Modell ... 131



7. Das Least-Privilege-Prinzip ... 163


7.1 ... Allgemeine Punkte zur Vorbereitung des Least-Privilege-Prinzips ... 164

7.2 ... Werkzeuge für das Ermitteln der Zugriffsrechte ... 168

7.3 ... Die Umsetzung des Least-Privilege-Prinzips ... 176

7.4 ... Weitere Aspekte nach der Umsetzung ... 211



8. Härten von Benutzer- und Dienstkonten ... 219


8.1 ... Tipps für die Kennworterstellung bei Benutzerkonten ... 219

8.2 ... Kennworteinstellungen in einer GPO für die normalen Benutzerkennungen
... 220

8.3 ... Kennworteinstellungsobjekte (PSO) für administrative Benutzerkonten ...
222

8.4 ... Kennworteinstellungsobjekte für Dienstkonten ... 223

8.5 ... Multi-Faktor-Authentifizierung (MFA) ... 225

8.6 ... GPO für Benutzerkonten ... 230

8.7 ... Berechtigungen der Dienstkonten ... 232

8.8 ... Anmeldeberechtigungen der Dienstkonten ... 233



9. Just-in-Time- und Just-Enough-Administration ... 237


9.1 ... Just in Time Administration ... 237

9.2 ... Just Enough Administration (JEA) ... 252



10. Planung und Konfiguration der Verwaltungssysteme (PAWs) ... 277


10.1 ... Wo sollten die Verwaltungssysteme (PAWs) eingesetzt werden? ... 278

10.2 ... Dokumentation der ausgebrachten Verwaltungssysteme ... 281

10.3 ... Wie werden die Verwaltungssysteme bereitgestellt? ... 281

10.4 ... Zugriff auf die Verwaltungssysteme ... 282

10.5 ... Design der Verwaltungssysteme ... 286

10.6 ... Anbindung der Verwaltungssysteme ... 290

10.7 ... Bereitstellung von RemoteApps über eine Terminalserver-Farm im
Tier-Level 0 ... 293

10.8 ... Zentralisierte Logs der Verwaltungssysteme ... 303

10.9 ... Empfehlung zu Verwendung von Verwaltungssystemen ... 303



11. Härten der Arbeitsplatzcomputer ... 305


11.1 ... Local Administrator Password Solution (LAPS) ... 305

11.2 ... BitLocker ... 317

11.3 ... Mitglieder in den lokalen administrativen Sicherheitsgruppen verwalten
... 329

11.4 ... Weitere Einstellungen: Startmenü und vorinstallierte Apps anpassen,
OneDrive deinstallieren und Cortana deaktivieren ... 330

11.5 ... Härtung durch Gruppenrichtlinien ... 338



12. Härten der administrativen Systeme ... 369


12.1 ... Gruppenrichtlinieneinstellung für alle PAWs ... 369

12.2 ... Administrative Berechtigungen auf den administrativen Systemen ... 375

12.3 ... Verwaltung der administrativen Systeme ... 377

12.4 ... Firewall-Einstellungen ... 381

12.5 ... IPSec-Kommunikation ... 383

12.6 ... AppLocker-Einstellungen auf den administrativen Systemen ... 396

12.7 ... Windows Defender Credential Guard ... 398



13. Update-Management ... 403


13.1 ... Installation der Updates auf Standalone-Clients oder in kleinen
Unternehmen ohne Active Directory ... 403

13.2 ... Updates mit dem WSUS-Server verwalten ... 407

13.3 ... Application Lifecycle Management ... 437



14. Administrativer Forest ... 445


14.1 ... Was ist ein Admin-Forest? ... 445

14.2 ... Einrichten eines Admin-Forests ... 448

14.3 ... Privilege Access Management-Trust (PAM-Trust) ... 476

14.4 ... Verwaltung und Troubleshooting ... 487



15. Härtung des Active Directory ... 493


15.1 ... Schützenswerte Objekte ... 493

15.2 ... Das Active Directory-Schema und die Rechte im Schema ... 509

15.3 ... Kerberos Reset (krbtgt) und Kerberoasting ... 511

15.4 ... Sinnvolles OU-Design für die AD-Umgebung ... 515



16. Netzwerkzugänge absichern ... 517


16.1 ... VPN-Zugang ... 518

16.2 ... DirectAccess einrichten ... 549

16.3 ... NAT einrichten ... 554

16.4 ... Netzwerkrichtlinienserver ... 558

16.5 ... Den Netzwerkzugriff absichern ... 578

16.6 ... Absichern des Zugriffs auf Netzwerkgeräte über das RADIUS-Protokoll ...
595



17. PKI und Zertifizierungsstellen ... 609


17.1 ... Was ist eine PKI? ... 609

17.2 ... Aufbau einer CA-Infrastruktur ... 617

17.3 ... Zertifikate verteilen und verwenden ... 654

17.4 ... Überwachung und Troubleshooting der Zertifikatdienste ... 669



18. Sicherer Betrieb ... 675


18.1 ... AD-Papierkorb ... 675

18.2 ... Umleiten der Standard-OUs für Computer und Benutzer ... 681

18.3 ... Mögliche Probleme beim Prestaging ... 682

18.4 ... Sichere Datensicherung ... 683

18.5 ... Disaster Recovery ... 697



19. Auditing ... 701


19.1 ... Die Ereignisanzeige ... 701

19.2 ... Logs zentral sammeln und archivieren ... 709

19.3 ... Konfiguration der Überwachungsrichtlinien ... 717

19.4 ... DNS-Logging ... 725



20. Reporting und Erkennen von Angriffen ... 731


20.1 ... Azure ATP und ATA ... 731

20.2 ... PowerShell-Reporting ... 736

20.3 ... Desired State Configuration ... 749



Index ... 755 

Kritik

¯Das Buch ist ein umfangreicher Leitfaden für die Planung und Einrichtung von Zugriffsrechten und Benutzerkonten und die Konfigurierung von EDV-Umgebungen, sodass Sie gegen Angriffe von Hackern gut bestehen können.® EKZ Bibliotheksservice 202010 

Autoreninfo

Kloep, Peter
Peter Kloep ist herausragender Experte für sichere Windows-Infrastrukturen im deutschsprachigen Raum. Seit 2002 ist er Microsoft Certified Trainer und hat seitdem zahlreiche technische Trainings zur Windows-Administration durchgeführt. Außerdem ist er Microsoft Certified Software Engineer und Microsoft Certified Solutions Master - Windows Server 2012. Seit fünf Jahren ist er bei Microsoft als Premier Field Engineer angestellt und unterstützt Premier-Kunden in den Bereichen Identity Management und Security.