Schützen Sie Windows-Systeme und Windows-Infrastrukturen vor AngreifernAssume the breach! In einer Zeit der Hacker und Cyberkriminellen ist nicht mehr die Frage, ob Ihre Infrastruktur Ziel eines Angriffs wird, sondern wie gut Sie dafür gewappnet sind. Microsoft gibt Ihnen für die Sicherheit Ihrer IT eine Reihe an Security-Werkzeugen an die Hand. Es kommt aber darauf an, dass Sie diese Tools richtig einsetzen, um die größtmögliche Wirkung gegen Angreifer zu erzielen. Und dafür müssen Sie wissen, wie Angreifer beim Hacking vorgehen.Dieser Leitfaden ist geschrieben von zwei ausgewiesenen Security-Profis. Sie erklären Ihnen, welche Security-Maßnahmen gegen welche Angriffsvektoren sinnvoll und nachweisbar effektiv sind. Denn mit den richtigen Administrationsmethoden machen Sie es Angreifern schwer und sorgen dafür, dass wichtige Daten sicher bleiben und kein Schaden an der IT entsteht. Zahlreiche Best Practices und Beispiele aus dem Alltag der Security-Experten zeigen Ihnen, wie Sie Ihre Windows-Systeme härten und sich auf den Ernstfall vorbereiten.Neu in der 2. Auflage: Hinweise für die Migration bestehender Umgebungen und Handschlungsvorschläge für die Disaster RecoveryAbsicherung der administrativen Konten mit Tier-Modell und Admin-ForestPraktische Beispiele für die Härtung Ihrer IT-SystemeKerberos, PKI und CA, Credential Guard und Bitlocker richtig einsetzenPatching, Auditing, Monitoring und Reporting Aus dem Inhalt:Angriffsmethoden und WerkzeugeSysteme härten und sichere AdministrationAuthentifizierungsprotokolleLeast-Privilege-Prinzip und Tier-ModellCredential Guard und Remote Credential GuardAdmin Forest und PAM-TrustAdministration: Just in time und Just enoughUpdate-Management mit WSUSPKI und CAAuditing, Monitoring und ReportingDisaster Recovery: Gut vorbereitet für den ErnstfallMigrationsguide: Von der Legacy-Umgebung zur modernen Infrastruktur
Patching, Auditing, Reporting und Disaster Recovery
Autorentext
Karsten Weigel arbeitet seit über 20 Jahren administrativ und beratend im IT-Umfeld. Er ist Microsoft Certified Solutions Associate und als Microsoft Certified Technology Specialist ausgewiesener Experte für Netzwerkinfrastruktur, Windows Server und Active Directory. Als technischer Projektverantwortlicher verfügt er über langjährige Erfahrungen in der Systemmigration von heterogenen Windows-Umgebungen. Derzeit ist er als Enterpriseadministrator für ein weltweit betriebenes Active Directory verantwortlich und ist technischer Ansprechpartner gegenüber dem Herstellersupport.
Inhalt
Materialien zum Buch ... 17
Geleitwort des Fachgutachters ... 19
1. Sichere Windows-Infrastrukturen ... 21
1.1 ... Warum Sicherheitsmaßnahmen? ... 21
1.2 ... Wer hinterlässt wo Spuren? ... 22
1.3 ... Was sollten Sie von den Vorschlägen in diesem Buch umsetzen? ... 23
2. Angriffsmethoden ... 25
2.1 ... Geänderte Angriffsziele oder »Identity is the new perimeter« und »Assume the breach« ... 25
2.2 ... Das AIC-Modell ... 26
2.3 ... Angriff und Verteidigung ... 28
2.4 ... Offline-Angriffe auf das Active Directory ... 39
2.5 ... Das Ausnutzen sonstiger Schwachstellen ... 40
3. Angriffswerkzeuge ... 41
3.1 ... Testumgebung ... 41
3.2 ... Mimikatz ... 43
3.3 ... DSInternals ... 58
3.4 ... PowerSploit ... 62
3.5 ... BloodHound ... 64
3.6 ... Deathstar ... 64
3.7 ... Hashcat und Cain & Abel ... 64
3.8 ... Erhöhen der Rechte ohne den Einsatz von Zusatzsoftware ... 66
3.9 ... Kali Linux ... 69
4. Authentifizierungsprotokolle ... 71
4.1 ... Domänenauthentifizierungsprotokolle ... 71
4.2 ... Remotezugriffsprotokolle ... 94
4.3 ... Webzugriffsprotokolle ... 95
5. Ein Namenskonzept planen und umsetzen ... 97
5.1 ... Planung ... 97
5.2 ... Umsetzung ... 99
6. Das Tier-Modell ... 125
6.1 ... Grundlagen eines Tier-Modells ... 125
6.2 ... Das Tier-Modell gemäß den Empfehlungen Microsofts ... 128
6.3 ... Erweitertes Tier-Modell ... 131
7. Das Least-Privilege-Prinzip ... 165
7.1 ... Allgemeine Punkte zur Vorbereitung des Least-Privilege-Prinzips ... 166
7.2 ... Werkzeuge für das Ermitteln der Zugriffsrechte ... 170
7.3 ... Die Umsetzung des Least-Privilege-Prinzips ... 178
7.4 ... Sicherheitsgruppen im Active Directory für die lokalen und Rollenadministratoren ... 213
7.5 ... Weitere Aspekte nach der Umsetzung ... 217
8. Härten von Benutzer- und Dienstkonten ... 225
8.1 ... Tipps für die Kennworterstellung bei Benutzerkonten ... 225
8.2 ... Kennworteinstellungen in einer GPO für die normalen Benutzerkennungen ... 226
8.3 ... Kennworteinstellungsobjekte (PSOs) für administrative Benutzerkonten ... 228
8.4 ... Kennworteinstellungsobjekte für Dienstkonten ... 229
8.5 ... Multi-Faktor-Authentifizierung (MFA) ... 231
8.6 ... GPO für Benutzerkonten ... 236
8.7 ... Berechtigungen der Dienstkonten ... 238
8.8 ... Anmeldeberechtigungen der Dienstkonten ... 239
9. Just-in-Time- und Just-Enough-Administration ... 243
9.1 ... Just in Time Administration ... 243
9.2 ... Just Enough Administration (JEA) ... 259
10. Planung und Konfiguration der Verwaltungssysteme (PAWs) ... 285
10.1 ... Wo sollten die Verwaltungssysteme (PAWs) eingesetzt werden? ... 286
10.2 ... Dokumentation der ausgebrachten Verwaltungssysteme ... 289
10.3 ... Wie werden die Verwaltungssysteme bereitgestellt? ... 289
10.4 ... Zugriff auf die Verwaltungssysteme ... 290
10.5 ... Design der Verwaltungssysteme ... 294
10.6 ... Anbindung der Verwaltungssysteme ... 298
10.7 ... Bereitstellung von RemoteApps über eine Terminalserver-Farm im Tier-Level 0 ... 301
10.8 ... Zentralisierte Logs der Verwaltungssysteme ... 310
10.9 ... Empfehlung zur Verwendung von Verwaltungssystemen ... 311
11. Härten der Arbeitsplatzcomputer ... 313
11.1 ... Local Administrator Password Solution (LAPS) ... 313
11.2 ... BitLocker ... 329
11.3 ... Mitglieder in den lokalen administrativen Sicherheitsgruppen verwalten ... 343
11.4 ... Weitere Einstellungen: Startmenü und vorinstallierte Apps anpassen, OneDrive deinstallieren und Cortana deaktivieren ... 344
11.5 ... Härtung durch Gruppenrichtlinien ... 352
12. Härten der administrativen Systeme ... 383
12.1 ... Gruppenrichtlinieneinstellungen für alle PAWs ... 383
12.2 ... Administrative Berechtigungen auf den administrativen Systemen ... 389
12.3 ... Verwaltung der administrativen Systeme ... 392
12.4 ... Firewall-Einstellungen ... 395
12.5 ... IPSec-Kommunikation ... 397
12.6 ... AppLocker-Einstellungen auf den administrativen Systemen ... 410
12.7 ... Windows Defender Credential Guard ... 412
13. Update-Management ... 417
13.1 ... Installation der Updates auf Standalone-Clients oder in kleinen Unternehmen ohne Active Directory ... 417
13.2 ... Updates mit dem WSUS-Server verwalten ... 421
13.3 ... Application Lifecycle Management ... 451
14. Der administrative Forest ... 459
14.1 ... Was ist ein Admin-Forest? ... 459
14.2 ... Einrichten eines Admin-Forests ... 462
14.3 ... Privilege Access Management-Trust (PAM-Trust) ... 489
14.4 ... Verwaltung und Troubleshooting ... 501
15. Härtung des Active Directory .…
Patching, Auditing, Reporting und Disaster Recovery
Autorentext
Karsten Weigel arbeitet seit über 20 Jahren administrativ und beratend im IT-Umfeld. Er ist Microsoft Certified Solutions Associate und als Microsoft Certified Technology Specialist ausgewiesener Experte für Netzwerkinfrastruktur, Windows Server und Active Directory. Als technischer Projektverantwortlicher verfügt er über langjährige Erfahrungen in der Systemmigration von heterogenen Windows-Umgebungen. Derzeit ist er als Enterpriseadministrator für ein weltweit betriebenes Active Directory verantwortlich und ist technischer Ansprechpartner gegenüber dem Herstellersupport.
Inhalt
Materialien zum Buch ... 17
Geleitwort des Fachgutachters ... 19
1. Sichere Windows-Infrastrukturen ... 21
1.1 ... Warum Sicherheitsmaßnahmen? ... 21
1.2 ... Wer hinterlässt wo Spuren? ... 22
1.3 ... Was sollten Sie von den Vorschlägen in diesem Buch umsetzen? ... 23
2. Angriffsmethoden ... 25
2.1 ... Geänderte Angriffsziele oder »Identity is the new perimeter« und »Assume the breach« ... 25
2.2 ... Das AIC-Modell ... 26
2.3 ... Angriff und Verteidigung ... 28
2.4 ... Offline-Angriffe auf das Active Directory ... 39
2.5 ... Das Ausnutzen sonstiger Schwachstellen ... 40
3. Angriffswerkzeuge ... 41
3.1 ... Testumgebung ... 41
3.2 ... Mimikatz ... 43
3.3 ... DSInternals ... 58
3.4 ... PowerSploit ... 62
3.5 ... BloodHound ... 64
3.6 ... Deathstar ... 64
3.7 ... Hashcat und Cain & Abel ... 64
3.8 ... Erhöhen der Rechte ohne den Einsatz von Zusatzsoftware ... 66
3.9 ... Kali Linux ... 69
4. Authentifizierungsprotokolle ... 71
4.1 ... Domänenauthentifizierungsprotokolle ... 71
4.2 ... Remotezugriffsprotokolle ... 94
4.3 ... Webzugriffsprotokolle ... 95
5. Ein Namenskonzept planen und umsetzen ... 97
5.1 ... Planung ... 97
5.2 ... Umsetzung ... 99
6. Das Tier-Modell ... 125
6.1 ... Grundlagen eines Tier-Modells ... 125
6.2 ... Das Tier-Modell gemäß den Empfehlungen Microsofts ... 128
6.3 ... Erweitertes Tier-Modell ... 131
7. Das Least-Privilege-Prinzip ... 165
7.1 ... Allgemeine Punkte zur Vorbereitung des Least-Privilege-Prinzips ... 166
7.2 ... Werkzeuge für das Ermitteln der Zugriffsrechte ... 170
7.3 ... Die Umsetzung des Least-Privilege-Prinzips ... 178
7.4 ... Sicherheitsgruppen im Active Directory für die lokalen und Rollenadministratoren ... 213
7.5 ... Weitere Aspekte nach der Umsetzung ... 217
8. Härten von Benutzer- und Dienstkonten ... 225
8.1 ... Tipps für die Kennworterstellung bei Benutzerkonten ... 225
8.2 ... Kennworteinstellungen in einer GPO für die normalen Benutzerkennungen ... 226
8.3 ... Kennworteinstellungsobjekte (PSOs) für administrative Benutzerkonten ... 228
8.4 ... Kennworteinstellungsobjekte für Dienstkonten ... 229
8.5 ... Multi-Faktor-Authentifizierung (MFA) ... 231
8.6 ... GPO für Benutzerkonten ... 236
8.7 ... Berechtigungen der Dienstkonten ... 238
8.8 ... Anmeldeberechtigungen der Dienstkonten ... 239
9. Just-in-Time- und Just-Enough-Administration ... 243
9.1 ... Just in Time Administration ... 243
9.2 ... Just Enough Administration (JEA) ... 259
10. Planung und Konfiguration der Verwaltungssysteme (PAWs) ... 285
10.1 ... Wo sollten die Verwaltungssysteme (PAWs) eingesetzt werden? ... 286
10.2 ... Dokumentation der ausgebrachten Verwaltungssysteme ... 289
10.3 ... Wie werden die Verwaltungssysteme bereitgestellt? ... 289
10.4 ... Zugriff auf die Verwaltungssysteme ... 290
10.5 ... Design der Verwaltungssysteme ... 294
10.6 ... Anbindung der Verwaltungssysteme ... 298
10.7 ... Bereitstellung von RemoteApps über eine Terminalserver-Farm im Tier-Level 0 ... 301
10.8 ... Zentralisierte Logs der Verwaltungssysteme ... 310
10.9 ... Empfehlung zur Verwendung von Verwaltungssystemen ... 311
11. Härten der Arbeitsplatzcomputer ... 313
11.1 ... Local Administrator Password Solution (LAPS) ... 313
11.2 ... BitLocker ... 329
11.3 ... Mitglieder in den lokalen administrativen Sicherheitsgruppen verwalten ... 343
11.4 ... Weitere Einstellungen: Startmenü und vorinstallierte Apps anpassen, OneDrive deinstallieren und Cortana deaktivieren ... 344
11.5 ... Härtung durch Gruppenrichtlinien ... 352
12. Härten der administrativen Systeme ... 383
12.1 ... Gruppenrichtlinieneinstellungen für alle PAWs ... 383
12.2 ... Administrative Berechtigungen auf den administrativen Systemen ... 389
12.3 ... Verwaltung der administrativen Systeme ... 392
12.4 ... Firewall-Einstellungen ... 395
12.5 ... IPSec-Kommunikation ... 397
12.6 ... AppLocker-Einstellungen auf den administrativen Systemen ... 410
12.7 ... Windows Defender Credential Guard ... 412
13. Update-Management ... 417
13.1 ... Installation der Updates auf Standalone-Clients oder in kleinen Unternehmen ohne Active Directory ... 417
13.2 ... Updates mit dem WSUS-Server verwalten ... 421
13.3 ... Application Lifecycle Management ... 451
14. Der administrative Forest ... 459
14.1 ... Was ist ein Admin-Forest? ... 459
14.2 ... Einrichten eines Admin-Forests ... 462
14.3 ... Privilege Access Management-Trust (PAM-Trust) ... 489
14.4 ... Verwaltung und Troubleshooting ... 501
15. Härtung des Active Directory .…
Titel
Sichere Windows-Infrastrukturen
Untertitel
Das Handbuch für Administratoren
Autor
EAN
9783836292511
Format
E-Book (epub)
Hersteller
Veröffentlichung
03.02.2023
Digitaler Kopierschutz
frei
Dateigrösse
26 MB
Anzahl Seiten
811
Lesemotiv
Unerwartete Verzögerung
Ups, ein Fehler ist aufgetreten. Bitte versuchen Sie es später noch einmal.