Masterclass Active Directory Security Training.

KURS-NR. EDU708314

Uhr
5 Tage
Kosten
EUR5,800/Person (zzgl. Mwst.)
Teilnehmer
Ab 2 Teilnehmer
Unser Angebot gilt ausschließlich für gewerbliche Endkunden und Öffentliche Auftraggeber.
Hersteller Bild

Zielgruppe:

  • Netzwerk-Administratoren
  • Sicherheitsexperte

Voraussetzung:

Mindestens 5 Jahre Erfahrung mit Active Directory und Client-Systemen

Ziel:

In diesem Master-Class-Kurs wird das Thema Active Directory-Security ganz zentral in den Focus genommen. Mittlerweile sind diverse Angriffs-Szenarien bekannt (z.B. mimikatz et.al.), diese zielen auf Credential-Thefting oder auf Ransomeware-Implementierung ab. Das Ziel dieses Workshops ist es, diese Szenarien zu verstehen, um diese dann verhindern zu können und eine Active Directory-Implementierung umzusetzen, die diesen Angriffen widersteht und auch gegen zukünftige Angriffe durchgehärtet ist. Das Active Directory sind Ihre "Kronjuwelen" – ohne Active Directory sind die meisten Firmen-Umgebungen produktiv komplett lahmgelegt. Deswegen: Verstehe, härten und monitoring, damit Sie besser schlafen können.

Bemerkung:

Für die Teilnahme einer 2.Person aus der selben Firma am selben Termin beträgt die Gebühr 2.900 Euro/Person.


Inhalte:

  • Einführung + Best-Practices zur Installation von Domänen-Controllern (Wiederholung)
  • Hausgemachte Sicherheitsprobleme im Active Directory: Kerberos verstehen, NTLM vs. Kerberos, SMB (Versionen, Angriffs-Szenarien, Sicherer Einsatz), PAC-Validation und die Probleme mit der Microsoft-Implementierung von Kerberos, PTH – Pass the Hash/Silver Ticket/Golden Ticket/Skeleton Key
  • Kerberos Ticket Service, Kerberos-Passwörter änder
  • Credential-Thefting verhindern: Angriffs-Szenarie (PTH – Pass the Hash/Silver Ticket/Golden Ticket/Skeleton Key), Credential-Thefting verhindern (Windows Defender Credential Guard, Windows Defender Remote Credential Guard Bitlocker, Windows Defender Device Guard, AppLocker, Windows Defender Application Guard)
  • Konzepte verstehen: Tier.Modelle betreiben, Red-Forest/Golden-Forest/Bastion Forests, Single-Domain-Modell hochsicher
  • Clean-Installation-Source: Hash-Werte der *.iso-Dateien verifizieren, Fciv.exe, Powershell, 7zip und IgorHasher
  • Aufsetzen des ersten Domänencontrollers: ms-ds-machineaccountquota verstehen, redircmp einsetzen für neue Computer-Systeme, redirusr einsetzen für neue User, Bitlocker und TPM 1.2 vs. 2.0, Bitlocker und PreBoot-Authentifizierung, AppLocker, Monitoring (AD-Audit-Plus, CyberArk), Sicheres Backup und Recovery von Bitlocker-geschützen Backup-Volumes, Firewalling auf Domänencontrollern, IPSEC mit RDP konfigurieren, Härten der Domänencontroller nach Center of Internet Security/gpPack& PaT/SIM/LDA/Microsoft-Tools
  • Aufsetzen weitere Domänencontroller
  • Domänen-Controller sicher via IPSEC betreiben, IPSEC Monitoring via MMC
  • PKI-Server aufsetzen als interne Trusted-ROOT-CA, Automatisches Zertifikats-Deployment aktivieren via Gruppenrichtlinien, Enrollement von Nicht-Standard-Zertifikaten, Härten der PKI nach Center of Internet Security/gpPack& PaT/SIM/LDA/Microsoft-Tools
  • Jump-Server und Priviliged Acccess-Workstation (PAW) – Konzepte verstehen und umsetzen: Jump-Server aufsetzen und konfigurieren (RSAT-Installation, ADMIN-Center installieren mit gültigem Zertifikat einer Trusted-Root-PKI, Bitlocker und TPM 1.2 vs. 2.0, Bitlocker und PreBoot-Authentifizierung, AppLocker, IPSEC mit RDP konfigurieren, Backup von Jump-Server auf bitlocker-geschützte Volumes, Firewalling auf JUMP-Servern; Härten der Jump-Server nach Center of Internet Security/gpPack& PaT/SIM/LDA/Microsoft-Tools; PAW aufsetzen und konfigurieren (Bitlocker und TPM 1.2 vs. 2.0, Bitlocker und PreBoot-Authentifizierung, AppLocker, IPSEC und RDP konfigurieren, Backup von PAWs auf bitlocker-geschützte Volumes, Firewalling auf PAWs); Härten der Domänencontroller nachCenter of Internet Security/gpPack& PaT/SIM/LDA/Microsoft-Tools
  • Sicherheit in Domänen-Netzwerken: 802.1X mit MAC-Adressen/Zertifikaten, MAC-Flooding auf Switchen + Hubbing-Mode ausschalten, IPSEC mit Kerberos und Zertifikaten
  • Windows Defender Advanced Threat Protection (WDATP), Konzept von WDATP verstehen, WDATP ausrollen und monitoren, WDATP auf Domänencontrollern/Jump-Servern und PAWs/Windows 10 Clients
  • Secure Deployment von Domänencontrollern, Memberservern und Clients via MDT: Installation und Konfiguration von MDT hochsicher, Härtung von MDT-Servern, Ausrollen hochsicherer Memberserver und Clients