Sichere Windows-Infrastrukturen
Rheinwerk (Verlag)
978-3-8362-9249-8 (ISBN)
- Absicherung der administrativen Konten mit Tier-Modell und Admin-Forest
- Kerberos, PKI und CA, Credential Guard und BitLocker richtig nutzen
- Patching, Auditing, Monitoring und Reporting
Schützen Sie Windows-Systeme vor Angreifern!
Assume the breach! Heutzutage ist nicht mehr die Frage, ob Ihre Infrastruktur Ziel eines Angriffs wird, sondern ob Sie darauf gewappnet sind. Microsoft gibt Ihnen dazu einen Reihe Werkzeuge an die Hand, und dieser Leitfaden zeigt Ihnen, wie Sie sie richtig einsetzen.
Mit den richtigen Administrationsmethoden erschweren Sie so den Angriff und sorgen dafür, dass wichtige Daten sicher bleiben und kein Schaden entsteht. Zahlreiche Best Practices und Hinweise aus der Praxis erklären Ihnen, wie Sie Ihre Systeme absichern und sich auf den Ernstfall vorbereiten.
Neu in der 2. Auflage: Hinweise für die Migration bestehender Umgebungen und Handschlungsvorschläge für die Disaster Recovery
Sichere Systeme – von Anfang an
Sicherheit lässt sich nicht per Knopfdruck einschalten, sondern will gut geplant sein. Dieses Handbuch zeigt Ihnen, wie Sie Zugriffsrechte und Benutzerkonten sinnvoll einrichten und Ihr Netzwerk so konfigurieren, dass es resilient gegen Angriffe ist und Hackern das Leben schwer macht.
Angriffsvektoren kennen und Systeme absichern
Nur wenn Sie die wichtigsten Sicherheitsprobleme kennen, können Sie Ihr Netzwerk effektiv absichern. Daher finden Sie hier einen Überblick über einschlägige Hacking-Tools und erfahren so praxisnah, wie ein Angriff abläuft.
Sicherheit in der Praxis
Das richtige Monitoring und ein gutes Patch-Management sind ein erster Schritt zur sicheren Umgebung. Es gibt allerdings noch viel mehr, was Sie im Administrationsalltag tun können, um Ihre Systeme zu schützen: Just-in-time und Just-enough-Administration, saubere Einordnung der Systeme in Tiers, PAWs und mehr!
Aus dem Inhalt:
Angriffsmethoden und Werkzeuge
Systeme härten und sichere Administration
Authentifizierungsprotokolle
Least-Privilege-Prinzip und Tier-Modell
Credential Guard und Remote Credential Guard
Admin Forest und PAM-Trust
Administration: Just in time und Just enough
Update-Management mit WSUS
PKI und CA
Auditing, Monitoring und Reporting
Disaster Recovery: Gut vorbereitet für den Ernstfall
Migrationsguide: Von der Legacy-Umgebung zur modernen Infrastruktur
Peter Kloep ist ein herausragender Experte für sichere Windows-Infrastrukturen im deutschsprachigen Raum. Seit 2002 ist er Microsoft Certified Trainer und hat seitdem zahlreiche technische Trainings zur Windows-Administration durchgeführt. Außerdem ist er Microsoft Certified Systems Engineer und Microsoft Certified Solutions Expert – Windows Server 2012. Er war bei Microsoft als Premier Field Engineer tätig und unterstützte dort Premier-Kunden in den Bereichen Identity Management und Security. Er kennt daher die in diesem Buch beschriebenen Fragestellungen aus der Praxis, ist mit den Ansprüchen der Unternehmen vertraut und geht gezielt auf potentielle Fallstricke und Probleme ein.
Karsten Weigel ist Microsoft Certified Solutions Associate und als Microsoft Certified Technology Specialist ausgewiesener Experte für Netzwerkinfrastruktur, Windows Server und Active Directory. Als technischer Projektverantwortlicher verfügt er über langjährige Erfahrungen in der Systemmigration von heterogenen Windows-Umgebungen. Derzeit ist er als Enterpriseadministrator für ein weltweit betriebenes Active Directory verantwortlich und ist technischer Ansprechpartner gegenüber dem Herstellersupport. Er arbeitet seit über 20 Jahren administrativ und beratend im IT-Umfeld.
Materialien zum Buch ... 17
Geleitwort des Fachgutachters ... 19
1. Sichere Windows-Infrastrukturen ... 21
1.1 ... Warum Sicherheitsmaßnahmen? ... 21
1.2 ... Wer hinterlässt wo Spuren? ... 22
1.3 ... Was sollten Sie von den Vorschlägen in diesem Buch umsetzen? ... 23
2. Angriffsmethoden ... 25
2.1 ... Geänderte Angriffsziele oder »Identity is the new perimeter« und »Assume the breach« ... 25
2.2 ... Das AIC-Modell ... 26
2.3 ... Angriff und Verteidigung ... 28
2.4 ... Offline-Angriffe auf das Active Directory ... 39
2.5 ... Das Ausnutzen sonstiger Schwachstellen ... 40
3. Angriffswerkzeuge ... 41
3.1 ... Testumgebung ... 41
3.2 ... Mimikatz ... 43
3.3 ... DSInternals ... 58
3.4 ... PowerSploit ... 62
3.5 ... BloodHound ... 64
3.6 ... Deathstar ... 64
3.7 ... Hashcat und Cain & Abel ... 64
3.8 ... Erhöhen der Rechte ohne den Einsatz von Zusatzsoftware ... 66
3.9 ... Kali Linux ... 69
4. Authentifizierungsprotokolle ... 71
4.1 ... Domänenauthentifizierungsprotokolle ... 71
4.2 ... Remotezugriffsprotokolle ... 94
4.3 ... Webzugriffsprotokolle ... 95
5. Ein Namenskonzept planen und umsetzen ... 97
5.1 ... Planung ... 97
5.2 ... Umsetzung ... 99
6. Das Tier-Modell ... 125
6.1 ... Grundlagen eines Tier-Modells ... 125
6.2 ... Das Tier-Modell gemäß den Empfehlungen Microsofts ... 128
6.3 ... Erweitertes Tier-Modell ... 131
7. Das Least-Privilege-Prinzip ... 165
7.1 ... Allgemeine Punkte zur Vorbereitung des Least-Privilege-Prinzips ... 166
7.2 ... Werkzeuge für das Ermitteln der Zugriffsrechte ... 170
7.3 ... Die Umsetzung des Least-Privilege-Prinzips ... 178
7.4 ... Sicherheitsgruppen im Active Directory für die lokalen und Rollenadministratoren ... 213
7.5 ... Weitere Aspekte nach der Umsetzung ... 217
8. Härten von Benutzer- und Dienstkonten ... 225
8.1 ... Tipps für die Kennworterstellung bei Benutzerkonten ... 225
8.2 ... Kennworteinstellungen in einer GPO für die normalen Benutzerkennungen ... 226
8.3 ... Kennworteinstellungsobjekte (PSOs) für administrative Benutzerkonten ... 228
8.4 ... Kennworteinstellungsobjekte für Dienstkonten ... 229
8.5 ... Multi-Faktor-Authentifizierung (MFA) ... 231
8.6 ... GPO für Benutzerkonten ... 236
8.7 ... Berechtigungen der Dienstkonten ... 238
8.8 ... Anmeldeberechtigungen der Dienstkonten ... 239
9. Just-in-Time- und Just-Enough-Administration ... 243
9.1 ... Just in Time Administration ... 243
9.2 ... Just Enough Administration (JEA) ... 259
10. Planung und Konfiguration der Verwaltungssysteme (PAWs) ... 285
10.1 ... Wo sollten die Verwaltungssysteme (PAWs) eingesetzt werden? ... 286
10.2 ... Dokumentation der ausgebrachten Verwaltungssysteme ... 289
10.3 ... Wie werden die Verwaltungssysteme bereitgestellt? ... 289
10.4 ... Zugriff auf die Verwaltungssysteme ... 290
10.5 ... Design der Verwaltungssysteme ... 294
10.6 ... Anbindung der Verwaltungssysteme ... 298
10.7 ... Bereitstellung von RemoteApps über eine Terminalserver-Farm im Tier-Level 0 ... 301
10.8 ... Zentralisierte Logs der Verwaltungssysteme ... 310
10.9 ... Empfehlung zur Verwendung von Verwaltungssystemen ... 311
11. Härten der Arbeitsplatzcomputer ... 313
11.1 ... Local Administrator Password Solution (LAPS) ... 313
11.2 ... BitLocker ... 329
11.3 ... Mitglieder in den lokalen administrativen Sicherheitsgruppen verwalten ... 343
11.4 ... Weitere Einstellungen: Startmenü und vorinstallierte Apps anpassen, OneDrive deinstallieren und Cortana deaktivieren ... 344
11.5 ... Härtung durch Gruppenrichtlinien ... 352
12. Härten der administrativen Systeme ... 383
12.1 ... Gruppenrichtlinieneinstellungen für alle PAWs ... 383
12.2 ... Administrative Berechtigungen auf den administrativen Systemen ... 389
12.3 ... Verwaltung der administrativen Systeme ... 392
12.4 ... Firewall-Einstellungen ... 395
12.5 ... IPSec-Kommunikation ... 397
12.6 ... AppLocker-Einstellungen auf den administrativen Systemen ... 410
12.7 ... Windows Defender Credential Guard ... 412
13. Update-Management ... 417
13.1 ... Installation der Updates auf Standalone-Clients oder in kleinen Unternehmen ohne Active Directory ... 417
13.2 ... Updates mit dem WSUS-Server verwalten ... 421
13.3 ... Application Lifecycle Management ... 451
14. Der administrative Forest ... 459
14.1 ... Was ist ein Admin-Forest? ... 459
14.2 ... Einrichten eines Admin-Forests ... 462
14.3 ... Privilege Access Management-Trust (PAM-Trust) ... 489
14.4 ... Verwaltung und Troubleshooting ... 501
15. Härtung des Active Directory ... 507
15.1 ... Schützenswerte Objekte ... 507
15.2 ... Das Active Directory-Schema und die Rechte im Schema ... 522
15.3 ... Kerberos-Reset (krbtgt) und Kerberoasting ... 524
15.4 ... Sinnvolles OU-Design für die AD-Umgebung ... 528
16. Netzwerkzugänge absichern ... 531
16.1 ... VPN-Zugang ... 532
16.2 ... DirectAccess einrichten ... 563
16.3 ... NAT einrichten ... 568
16.4 ... Der Netzwerkrichtlinienserver ... 572
16.5 ... Den Netzwerkzugriff absichern ... 591
16.6 ... Absichern des Zugriffs auf Netzwerkgeräte über das RADIUS-Protokoll ... 610
17. PKI und Zertifizierungsstellen ... 625
17.1 ... Was ist eine PKI? ... 625
17.2 ... Aufbau einer CA-Infrastruktur ... 633
17.3 ... Zertifikate verteilen und verwenden ... 670
17.4 ... Überwachung und Troubleshooting der Zertifikatdienste ... 684
17.5 ... Bevorstehende Änderungen und aktuelle Herausforderungen mit einer Microsoft-Zertifizierungsstelle ... 689
18. Sicherer Betrieb ... 693
18.1 ... AD-Papierkorb ... 693
18.2 ... Umleiten der Standard-OUs für Computer und Benutzer ... 699
18.3 ... Mögliche Probleme beim Prestaging ... 700
18.4 ... Sichere Datensicherung ... 701
18.5 ... Die Sicherheitsbezeichner (SIDs) dokumentieren ... 715
19. Auditing ... 717
19.1 ... Die Ereignisanzeige ... 717
19.2 ... Logs zentral sammeln und archivieren ... 725
19.3 ... Konfiguration der Überwachungsrichtlinien ... 735
19.4 ... DNS-Logging ... 744
20. Reporting und Erkennen von Angriffen ... 749
20.1 ... Azure ATP und ATA ... 749
20.2 ... PowerShell-Reporting ... 754
20.3 ... Desired State Configuration ... 767
21. Disaster Recovery ... 773
21.1 ... Disaster Recovery planen ... 773
21.2 ... Forest Recovery ... 777
21.3 ... Die Gruppenrichtlinien-Infrastruktur wiederherstellen ... 778
21.4 ... Snapshots verwenden ... 780
21.5 ... Das DC-Computerpasswort ist »out-of-sync« ... 782
22. Praktische Implementierung der Sicherheitsmaßnahmen ... 785
22.1 ... Bestandsanalyse ... 785
22.2 ... Welche Maßnahmen sind für mich geeignet bzw. wie aufwendig ist die Umsetzung? ... 790
22.3 ... Wie fange ich an? ... 800
Index ... 803
»Das Buch stellt die verschiedenen Handlungsmöglichkeiten ausführlich vor und hilft bei den notwendigen Abwägungen was, wovon und wie viel im konkreten Fall notwendig ist.« dotnetpro 202305
»Das Buch stellt die verschiedenen Handlungsmöglichkeiten ausführlich vor und hilft bei den notwendigen Abwägungen was, wovon und wie viel im konkreten Fall notwendig ist.«
Erscheinungsdatum | 23.01.2023 |
---|---|
Verlagsort | Bonn |
Sprache | deutsch |
Maße | 168 x 240 mm |
Einbandart | gebunden |
Themenwelt | Informatik ► Betriebssysteme / Server ► Windows Server |
Informatik ► Netzwerke ► Sicherheit / Firewall | |
Informatik ► Theorie / Studium ► Kryptologie | |
Schlagworte | Active Directory GPO • Admin-Forest • Administration • Credential-Guard • Hand-Buch Bücher Kurse Seminare Workshops Wissen Tipps Training Ausbildung Fachinformatiker • JEA Just enough • JIT Just in time • laps • Least-Privilege • PKI CA • Threat-Protection • Windows-Server Netzwerke • WSUS |
ISBN-10 | 3-8362-9249-1 / 3836292491 |
ISBN-13 | 978-3-8362-9249-8 / 9783836292498 |
Zustand | Neuware |
Informationen gemäß Produktsicherheitsverordnung (GPSR) | |
Haben Sie eine Frage zum Produkt? |
aus dem Bereich