Sichere Windows-Infrastrukturen

Peter Kloep ist herausragender Experte für sichere Windows-Infrastrukturen im deutschsprachigen Raum. Seit 2002 ist er Microsoft Certified Trainer und hat seitdem zahlreiche technische Trainings zur Windows-Administration durchgeführt. Außerdem ist er Microsoft Certified Software Engineer und Microsoft Certified Solutions Master – Windows Server 2012. Seit fünf Jahren ist er bei Microsoft als Premier Field Engineer angestellt und unterstützt Premier-Kunden in den Bereichen Identity Management und Security.

Karsten Weigel ist Microsoft Certified Solutions Associate und als Microsoft Certified Technology Specialist ausgewiesener Experte für Netzwerkinfrastruktur, Windows Server und Active Directory.

  Materialien zum Buch ... 15


  Geleitwort des Fachgutachters ... 17


  1.  Sichere Windows-Infrastrukturen ... 19


       1.1 ... Warum Sicherheitsmaßnahmen? ... 19

       1.2 ... Wer hinterlässt wo Spuren? ... 20

       1.3 ... Was sollten Sie von den Vorschlägen in diesem Buch umsetzen? ... 20



  2.  Angriffsmethoden ... 23


       2.1 ... Geänderte Angriffsziele oder »Identity is the new perimeter« und »Assume the breach« ... 23

       2.2 ... Das AIC-Modell ... 24

       2.3 ... Angriff und Verteidigung ... 26

       2.4 ... Offline-Angriffe auf das Active Directory ... 38

       2.5 ... Das Ausnutzen sonstiger Schwachstellen ... 38



  3.  Angriffswerkzeuge ... 41


       3.1 ... Testumgebung ... 41

       3.2 ... Mimikatz ... 43

       3.3 ... DSInternals ... 58

       3.4 ... PowerSploit ... 61

       3.5 ... BloodHound ... 63

       3.6 ... Deathstar ... 63

       3.7 ... Hashcat und Cain & Abel ... 63

       3.8 ... Erhöhen der Rechte ohne den Einsatz von Zusatzsoftware ... 65

       3.9 ... Kali Linux ... 68



  4.  Authentifizierungsprotokolle ... 71


       4.1 ... Domänenauthentifizierungsprotokolle ... 71

       4.2 ... Remotezugriffsprotokolle ... 95

       4.3 ... Webzugriffsprotokolle ... 96



  5.  Ein Namenskonzept planen und umsetzen ... 97


       5.1 ... Planung ... 97

       5.2 ... Umsetzung ... 99



  6.  Das Tier-Modell ... 125


       6.1 ... Grundlagen eines Tier-Modells ... 125

       6.2 ... Das Tier-Modell gemäß den Empfehlungen Microsofts ... 128

       6.3 ... Erweitertes Tier-Modell ... 131



  7.  Das Least-Privilege-Prinzip ... 163


       7.1 ... Allgemeine Punkte zur Vorbereitung des Least-Privilege-Prinzips ... 164

       7.2 ... Werkzeuge für das Ermitteln der Zugriffsrechte ... 168

       7.3 ... Die Umsetzung des Least-Privilege-Prinzips ... 176

       7.4 ... Weitere Aspekte nach der Umsetzung ... 211



  8.  Härten von Benutzer- und Dienstkonten ... 219


       8.1 ... Tipps für die Kennworterstellung bei Benutzerkonten ... 219

       8.2 ... Kennworteinstellungen in einer GPO für die normalen Benutzerkennungen ... 220

       8.3 ... Kennworteinstellungsobjekte (PSO) für administrative Benutzerkonten ... 222

       8.4 ... Kennworteinstellungsobjekte für Dienstkonten ... 223

       8.5 ... Multi-Faktor-Authentifizierung (MFA) ... 225

       8.6 ... GPO für Benutzerkonten ... 230

       8.7 ... Berechtigungen der Dienstkonten ... 232

       8.8 ... Anmeldeberechtigungen der Dienstkonten ... 233



  9.  Just-in-Time- und Just-Enough-Administration ... 237


       9.1 ... Just in Time Administration ... 237

       9.2 ... Just Enough Administration (JEA) ... 252



10.  Planung und Konfiguration der Verwaltungssysteme (PAWs) ... 277


       10.1 ... Wo sollten die Verwaltungssysteme (PAWs) eingesetzt werden? ... 278

       10.2 ... Dokumentation der ausgebrachten Verwaltungssysteme ... 281

       10.3 ... Wie werden die Verwaltungssysteme bereitgestellt? ... 281

       10.4 ... Zugriff auf die Verwaltungssysteme ... 282

       10.5 ... Design der Verwaltungssysteme ... 286

       10.6 ... Anbindung der Verwaltungssysteme ... 290

       10.7 ... Bereitstellung von RemoteApps über eine Terminalserver-Farm im Tier-Level 0 ... 293

       10.8 ... Zentralisierte Logs der Verwaltungssysteme ... 303

       10.9 ... Empfehlung zu Verwendung von Verwaltungssystemen ... 303



11.  Härten der Arbeitsplatzcomputer ... 305


       11.1 ... Local Administrator Password Solution (LAPS) ... 305

       11.2 ... BitLocker ... 317

       11.3 ... Mitglieder in den lokalen administrativen Sicherheitsgruppen verwalten ... 329

       11.4 ... Weitere Einstellungen: Startmenü und vorinstallierte Apps anpassen, OneDrive deinstallieren und Cortana deaktivieren ... 330

       11.5 ... Härtung durch Gruppenrichtlinien ... 338



12.  Härten der administrativen Systeme ... 369


       12.1 ... Gruppenrichtlinieneinstellung für alle PAWs ... 369

       12.2 ... Administrative Berechtigungen auf den administrativen Systemen ... 375

       12.3 ... Verwaltung der administrativen Systeme ... 377

       12.4 ... Firewall-Einstellungen ... 381

       12.5 ... IPSec-Kommunikation ... 383

       12.6 ... AppLocker-Einstellungen auf den administrativen Systemen ... 396

       12.7 ... Windows Defender Credential Guard ... 398



13.  Update-Management ... 403


       13.1 ... Installation der Updates auf Standalone-Clients oder in kleinen Unternehmen ohne Active Directory ... 403

       13.2 ... Updates mit dem WSUS-Server verwalten ... 407

       13.3 ... Application Lifecycle Management ... 437



14.  Administrativer Forest ... 445


       14.1 ... Was ist ein Admin-Forest? ... 445

       14.2 ... Einrichten eines Admin-Forests ... 448

       14.3 ... Privilege Access Management-Trust (PAM-Trust) ... 476

       14.4 ... Verwaltung und Troubleshooting ... 487



15.  Härtung des Active Directory ... 493


       15.1 ... Schützenswerte Objekte ... 493

       15.2 ... Das Active Directory-Schema und die Rechte im Schema ... 509

       15.3 ... Kerberos Reset (krbtgt) und Kerberoasting ... 511

       15.4 ... Sinnvolles OU-Design für die AD-Umgebung ... 515



16.  Netzwerkzugänge absichern ... 517


       16.1 ... VPN-Zugang ... 518

       16.2 ... DirectAccess einrichten ... 549

       16.3 ... NAT einrichten ... 554

       16.4 ... Netzwerkrichtlinienserver ... 558

       16.5 ... Den Netzwerkzugriff absichern ... 578

       16.6 ... Absichern des Zugriffs auf Netzwerkgeräte über das RADIUS-Protokoll ... 595



17.  PKI und Zertifizierungsstellen ... 609


       17.1 ... Was ist eine PKI? ... 609

       17.2 ... Aufbau einer CA-Infrastruktur ... 617

       17.3 ... Zertifikate verteilen und verwenden ... 654

       17.4 ... Überwachung und Troubleshooting der Zertifikatdienste ... 669



18.  Sicherer Betrieb ... 675


       18.1 ... AD-Papierkorb ... 675

       18.2 ... Umleiten der Standard-OUs für Computer und Benutzer ... 681

       18.3 ... Mögliche Probleme beim Prestaging ... 682

       18.4 ... Sichere Datensicherung ... 683

       18.5 ... Disaster Recovery ... 697



19.  Auditing ... 701


       19.1 ... Die Ereignisanzeige ... 701

       19.2 ... Logs zentral sammeln und archivieren ... 709

       19.3 ... Konfiguration der Überwachungsrichtlinien ... 717

       19.4 ... DNS-Logging ... 725



20.  Reporting und Erkennen von Angriffen ... 731


       20.1 ... Azure ATP und ATA ... 731

       20.2 ... PowerShell-Reporting ... 736

       20.3 ... Desired State Configuration ... 749



  Index ... 755

»Das Buch ist ein umfangreicher Leitfaden für die Planung und Einrichtung von Zugriffsrechten und Benutzerkonten und die Konfigurierung von EDV-Umgebungen, sodass Sie gegen Angriffe von Hackern gut bestehen können.« EKZ-Informationsdienst 202010