Assume the breach! In einer Zeit der Hacker und Cyberkriminellen ist nicht mehr die Frage, ob Ihre Infrastruktur Ziel eines Angriffs wird, sondern wie gut Sie dafür gewappnet sind. Microsoft gibt Ihnen für die Sicherheit Ihrer IT eine Reihe an Security-Werkzeugen an die Hand. Es kommt aber darauf an, dass Sie diese Tools richtig einsetzen, um die größtmögliche Wirkung gegen Angreifer zu erzielen. Und dafür müssen Sie wissen, wie Angreifer beim Hacking vorgehen.
Dieser Leitfaden ist geschrieben von zwei ausgewiesenen Security-Profis . Sie erklären Ihnen, welche Security-Maßnahmen gegen welche Angriffsvektoren sinnvoll und nachweisbar effektiv sind. Denn mit den richtigen Administrationsmethoden machen Sie es Angreifern schwer und sorgen dafür, dass wichtige Daten sicher bleiben und kein Schaden an der IT entsteht. Zahlreiche Best Practices und Beispiele aus dem Alltag der Security-Experten zeigen Ihnen, wie Sie Ihre Windows-Systeme härten und sich auf den Ernstfall vorbereiten.
Neu in der 2. Auflage: Hinweise für die Migration bestehender Umgebungen und Handschlungsvorschläge für die Disaster Recovery
- Absicherung der administrativen Konten mit Tier-Modell und Admin-Forest
- Praktische Beispiele für die Härtung Ihrer IT-Systeme
- Kerberos, PKI und CA, Credential Guard und Bitlocker richtig einsetzen
- Patching, Auditing, Monitoring und Reporting
Aus dem Inhalt:
- Angriffsmethoden und Werkzeuge
- Systeme härten und sichere Administration
- Authentifizierungsprotokolle
- Least-Privilege-Prinzip und Tier-Modell
- Credential Guard und Remote Credential Guard
- Admin Forest und PAM-Trust
- Administration: Just in time und Just enough
- Update-Management mit WSUS
- PKI und CA
- Auditing, Monitoring und Reporting
- Disaster Recovery: Gut vorbereitet für den Ernstfall
- Migrationsguide: Von der Legacy-Umgebung zur modernen Infrastruktur
Patching, Auditing, Reporting und Disaster Recovery
Autorentext
Karsten Weigel arbeitet seit über 20 Jahren administrativ und beratend im IT-Umfeld. Er ist Microsoft Certified Solutions Associate und als Microsoft Certified Technology Specialist ausgewiesener Experte für Netzwerkinfrastruktur, Windows Server und Active Directory. Als technischer Projektverantwortlicher verfügt er über langjährige Erfahrungen in der Systemmigration von heterogenen Windows-Umgebungen. Derzeit ist er als Enterpriseadministrator für ein weltweit betriebenes Active Directory verantwortlich und ist technischer Ansprechpartner gegenüber dem Herstellersupport.
Inhalt
Materialien zum Buch ... 17
Geleitwort des Fachgutachters ... 19
1. Sichere Windows-Infrastrukturen ... 21
1.1 ... Warum Sicherheitsmaßnahmen? ... 21
1.2 ... Wer hinterlässt wo Spuren? ... 22
1.3 ... Was sollten Sie von den Vorschlägen in diesem Buch umsetzen? ... 23
2. Angriffsmethoden ... 25
2.1 ... Geänderte Angriffsziele oder »Identity is the new perimeter« und »Assume the breach« ... 25
2.2 ... Das AIC-Modell ... 26
2.3 ... Angriff und Verteidigung ... 28
2.4 ... Offline-Angriffe auf das Active Directory ... 39
2.5 ... Das Ausnutzen sonstiger Schwachstellen ... 40
3. Angriffswerkzeuge ... 41
3.1 ... Testumgebung ... 41
3.2 ... Mimikatz ... 43
3.3 ... DSInternals ... 58
3.4 ... PowerSploit ... 62
3.5 ... BloodHound ... 64
3.6 ... Deathstar ... 64
3.7 ... Hashcat und Cain & Abel ... 64
3.8 ... Erhöhen der Rechte ohne den Einsatz von Zusatzsoftware ... 66
3.9 ... Kali Linux ... 69
4. Authentifizierungsprotokolle ... 71
4.1 ... Domänenauthentifizierungsprotokolle ... 71
4.2 ... Remotezugriffsprotokolle ... 94
4.3 ... Webzugriffsprotokolle ... 95
5. Ein Namenskonzept planen und umsetzen ... 97
5.1 ... Planung ... 97
5.2 ... Umsetzung ... 99
6. Das Tier-Modell ... 125
6.1 ... Grundlagen eines Tier-Modells ... 125
6.2 ... Das Tier-Modell gemäß den Empfehlungen Microsofts ... 128
6.3 ... Erweitertes Tier-Modell ... 131
7. Das Least-Privilege-Prinzip ... 165
7.1 ... Allgemeine Punkte zur Vorbereitung des Least-Privilege-Prinzips ... 166
7.2 ... Werkzeuge für das Ermitteln der Zugriffsrechte ... 170
7.3 ... Die Umsetzung des Least-Privilege-Prinzips ... 178
7.4 ... Sicherheitsgruppen im Active Directory für die lokalen und Rollenadministratoren ... 213
7.5 ... Weitere Aspekte nach der Umsetzung ... 217
8. Härten von Benutzer- und Dienstkonten ... 225
8.1 ... Tipps für die Kennworterstellung bei Benutzerkonten ... 225
8.2 ... Kennworteinstellungen in einer GPO für die normalen Benutzerkennungen ... 226
8.3 ... Kennworteinstellungsobjekte (PSOs) für administrative Benutzerkonten ... 228
8.4 ... Kennworteinstellungsobjekte für Dienstkonten ... 229
8.5 ... Multi-Faktor-Authentifizierung (MFA) ... 231
8.6 ... GPO für Benutzerkonten ... 236
8.7 ... Berechtigungen der Dienstkonten ... 238
8.8 ... Anmeldeberechtigungen der Dienstkonten ... 239
9. Just-in-Time- und Just-Enough-Administration ... 243
9.1 ... Just in Time Administration ... 243
9.2 ... Just Enough Administration (JEA) ... 259
10. Planung und Konfiguration der Verwaltungssysteme (PAWs) ... 285
10.1 ... Wo sollten die Verwaltungssysteme (PAWs) eingesetzt werden? ... 286
10.2 ... Dokumentation der ausgebrachten Verwaltungssysteme ... 289
10.3 ... Wie werden die Verwaltungssysteme bereitgestellt? ... 289
10.4 ... Zugriff auf die Verwaltungssysteme ... 290
10.5 ... Design der Verwaltungssysteme ... 294
10.6 ... Anbindung der Verwaltungssysteme ... 298
10.7 ... Bereitstellung von RemoteApps über eine Terminalserver-Farm im Tier-Level 0 ... 301
10.8 ... Zentralisierte Logs der Verwaltungssysteme ... 310
10.9 ... Empfehlung zur Verwendung von Verwaltungssystemen ... 311
11. Härten der Arbeitsplatzcomputer ... 313
11.1 ... Local Administrator Password Solution (LAPS) ... 313
11.2 ... BitLocker ... 329
11.3 ... Mitglieder in den lokalen administrativen Sicherheitsgruppen verwalten ... 343
11.4 ... Weitere Einstellungen: Startmenü und vorinstallierte Apps anpassen, OneDrive deinstallieren und Cortana deaktivieren ... 344
11.5 ... Härtung durch Gruppenrichtlinien ... 352
12. Härten der administrativen Systeme ... 383
12.1 ... Gruppenrichtlinieneinstellungen für alle PAWs ... 383