Detaillierte Informationen zum Seminar
Inhalte:
Masterclass Active Directory Security (AD3) - SADDD-L1
#- Wiederholung der Best-Practices zur Installation von Domänen-Controllern aus 20 Jahren Erfahrung als ADDS-Senior-Consultant
#- Hausgemachte Sicherheitsprobleme im Active Directory (Kerberos verstehen, NTLM vs. Kerberos, SMB: SMB-Versionen/Angriffs-Szenarien/Sicherer Einsatz von SMB, PAC_Validation und die Probleme mit der Microsoft-Implementierung von Kerberos – en detail, PTH – Pass the Hash – inklusive Live-Attacke mit allen Teilnehmern, Silver Ticket, Golden Ticket, Skeleton Key
#- Kerberos Ticket Service (Kerberos verstehen, Kerberos-Passwörter ändern: Warum und wie…, Kerberos-Passwörter ändern: Der Königsweg ohne Ausfälle)
#- Credential-Thefting verhindern – Ein DeepDive: Angriffs-Szenarie (Pass-the-Hash, Silver-Ticket, GoldenTicket, Skeleton-Key) und Credential-Thefting verhindern (Windows Defender Credential Guard konfigurieren, Windows Defender Remote Credential Guard Bitlocker, Windows Defender Device Guard einsetzen, AppLocker einsetzen, Windows Defender Application Guard einsetzen)
#- Konzepte verstehen: Tier.Modelle betreiben, Von Red-Forest, Golden-Forest und Bastion Forests, Single-Domain-Modell hochsicher
#- Clean-Installation-Source (Hash-Werte der *.iso-Dateien verifizieren, Fciv.exe, Powershell, 7zip und IgorHasher)
#- Aufsetzen des ersten Domänencontrollers (ms-ds-machineaccountquota verstehen, redircmp einsetzen für neue Computer-Systeme, redirusr einsetzen für neue User, Bitlocker, Bitlocker und TPM 1.2 vs. 2.0, Bitlocker und PreBoot-Authentifizierung, AppLocker, Monitoring (AD-Audit-Plus, CyberArk), Sicheres Backup und Recovery von Bitlocker-geschützen Backup-Volumes, Firewalling auf Domänencontrollern, IPSEC mit RDP konfigurieren, Härten der Domänencontroller nach (Center of Internet Security, gpPack& PaT, SIM, LDA, Microsoft-Tools)
#- Aufsetzen weitere Domänencontroller
#- Secure Deployment von Domänencontrollern, Memberservern und Clients via MDT (Installation und Konfiguration von MDT hochsicher, Härtung von MDT-Servern, Ausrollen hochsicherer Memberserver und Clients)
#- Domänen-Controller sicher via IPSEC betreiben (IPSEC konfigurieren und einsetzen, IPSEC Monitoring via MMC)
#- PKI-Server aufsetzen als interne Trusted-ROOT-CA (PKI konfigurieren, Automatisches Zertifikats-Deployment aktivieren via Gruppenrichtlinien, Enrollement von Nicht-Standard-Zertifikaten, Härten der PKI nach (Center of Internet Security, gpPack& PaT, SIM, LDA, Microsoft-Tools))
#- Jump-Server und Priviliged Acccess-Workstation (PAW) – Konzepte verstehen und umsetzen, Jump-Server aufsetzen und konfigurieren (RSAT-Installation, ADMIN-Center installieren mit gültigem Zertifikat einer Trusted-Root-PKI, Bitlocker, Bitlocker und TPM 1.2 vs. 2.0, Bitlocker und PreBoot-Authentifizierung, AppLocker, IPSEC mit RDP konfigurieren, Backup von Jump-Server auf bitlocker-geschützte Volumes, Firewalling auf JUMP-Servern), Härten der Jump-Server nach (Center of Internet Security, gpPack& PaT, SIM, LDA, Microsoft-Tools), PAW aufsetzen und konfigurieren (Bitlocker, Bitlocker und TPM 1.2 vs. 2.0, Bitlocker und PreBoot-Authentifizierung, AppLocker, IPSEC und RDP konfigurieren, Backup von PAWs auf bitlocker-geschützte Volumes, Firewalling auf PAWs), Härten der Domänencontroller nach (Center of Internet Security, gpPack& PaT, SIM, LDA, Microsoft-Tools))
#- Sicherheit in Domänen-Netzwerken (802.1X mit (MAC-Adressen, Zertifikaten), MAC-Flooding auf Switchen (Hubbing-Mode ausschalten, IPSEC mit Kerberos und Zertifikaten), Windows Defender Advanced Threat Protection (WDATP): Konzept von WDATP verstehen, WDATP ausrollen und monitoren, WDATP auf Domänencontrollern…, WDATP auf Jump-Servern und PAWs, WDATP auf Windows 10 Clients
Dauer/zeitlicher Ablauf:
5 Tag(e)
Teilnahmevoraussetzungen:
Mindestens 5 Jahre Erfahrung mit Active Directory und Client-Systemen.
Zielgruppe:
Sicherheitsexperte, Netzwerk-Administratoren,
Seminarkennung:
EDU708314
