Peter Kloep, Karsten Weigel
Sichere Windows-Infrastrukturen
Das Handbuch für Administratoren. Die neue Referenz von den Security-Profis. Alle Codebeispiele zum Download
Peter Kloep, Karsten Weigel
Sichere Windows-Infrastrukturen
Das Handbuch für Administratoren. Die neue Referenz von den Security-Profis. Alle Codebeispiele zum Download
- Gebundenes Buch
- Merkliste
- Auf die Merkliste
- Bewerten Bewerten
- Teilen
- Produkt teilen
- Produkterinnerung
- Produkterinnerung
Assume the breach! Heutzutage ist nicht mehr die Frage, ob Ihre Infrastruktur Ziel eines Angriffs wird, sondern ob Sie darauf gewappnet sind. Microsoft gibt Ihnen dazu einen Reihe Werkzeuge an die Hand, und dieser Leitfaden zeigt Ihnen, wie Sie sie richtig einsetzen. Mit den richtigen Administrationsmethoden erschweren Sie so den Angriff und sorgen dafür, dass wichtige Daten sicher bleiben und kein Schaden entsteht. Zahlreiche Best Practices und Hinweise aus der Praxis erklären Ihnen, wie Sie Ihre Systeme absichern und sich auf den Ernstfall vorbereiten.
Aus dem Inhalt:
Angriffsmethoden…mehr
Andere Kunden interessierten sich auch für
![Algorithmen und Datenstrukturen]( "Algorithmen und Datenstrukturen")
René KrooßAlgorithmen und Datenstrukturen49,99 €![Technik der IP-Netze]( "Technik der IP-Netze")
Anatol BadachTechnik der IP-Netze69,99 €![Algorithmen und Datenstrukturen für Dummies]( "Algorithmen und Datenstrukturen für Dummies")
Andreas Gogol-DöringAlgorithmen und Datenstrukturen für Dummies26,99 €![KI-Sprachassistenten mit Python entwickeln]( "KI-Sprachassistenten mit Python entwickeln")
Jonas FreiknechtKI-Sprachassistenten mit Python entwickeln39,99 €![Algorithmen und Datenstrukturen]( "Algorithmen und Datenstrukturen")
Gunter SaakeAlgorithmen und Datenstrukturen44,90 €![Computer-Netzwerke]( "Computer-Netzwerke")
Harald ZislerComputer-Netzwerke29,90 €![Handbuch für Softwareentwickler]( "Handbuch für Softwareentwickler")
Veikko KrypczykHandbuch für Softwareentwickler49,90 €-
-
- -21%11
-
-
-
-
-
-
-
-
-
-
Assume the breach! Heutzutage ist nicht mehr die Frage, ob Ihre Infrastruktur Ziel eines Angriffs wird, sondern ob Sie darauf gewappnet sind. Microsoft gibt Ihnen dazu einen Reihe Werkzeuge an die Hand, und dieser Leitfaden zeigt Ihnen, wie Sie sie richtig einsetzen. Mit den richtigen Administrationsmethoden erschweren Sie so den Angriff und sorgen dafür, dass wichtige Daten sicher bleiben und kein Schaden entsteht. Zahlreiche Best Practices und Hinweise aus der Praxis erklären Ihnen, wie Sie Ihre Systeme absichern und sich auf den Ernstfall vorbereiten.
Aus dem Inhalt:
Angriffsmethoden und WerkzeugeSysteme härten und sichere AdministrationAuthentifizierungsprotokolleLeast-Privilege-Prinzip und Tier-ModellCredential Guard und Remote Credential GuardAdmin ForestPAM-TrustAdministration: Just in time and just enoughPatch-Management mit WSUSPKI und CAAuditing: ATA und ATPMonitoring und Reporting
Aus dem Inhalt:
Angriffsmethoden und WerkzeugeSysteme härten und sichere AdministrationAuthentifizierungsprotokolleLeast-Privilege-Prinzip und Tier-ModellCredential Guard und Remote Credential GuardAdmin ForestPAM-TrustAdministration: Just in time and just enoughPatch-Management mit WSUSPKI und CAAuditing: ATA und ATPMonitoring und Reporting
Produktdetails
- Produktdetails
- Rheinwerk Computing
- Verlag: Rheinwerk Verlag
- Artikelnr. des Verlages: 459/07321
- Seitenzahl: 763
- Erscheinungstermin: 1. September 2020
- Deutsch
- Abmessung: 48mm x 177mm x 243mm
- Gewicht: 1510g
- ISBN-13: 9783836273213
- Artikelnr.: 59310049
- Rheinwerk Computing
- Verlag: Rheinwerk Verlag
- Artikelnr. des Verlages: 459/07321
- Seitenzahl: 763
- Erscheinungstermin: 1. September 2020
- Deutsch
- Abmessung: 48mm x 177mm x 243mm
- Gewicht: 1510g
- ISBN-13: 9783836273213
- Artikelnr.: 59310049
Kloep, PeterPeter Kloep ist herausragender Experte für sichere Windows-Infrastrukturen im deutschsprachigen Raum. Seit 2002 ist er Microsoft Certified Trainer und hat seitdem zahlreiche technische Trainings zur Windows-Administration durchgeführt. Außerdem ist er Microsoft Certified Software Engineer und Microsoft Certified Solutions Master - Windows Server 2012. Seit fünf Jahren ist er bei Microsoft als Premier Field Engineer angestellt und unterstützt Premier-Kunden in den Bereichen Identity Management und Security.
Materialien zum Buch ... 15
Geleitwort des Fachgutachters ... 17
1. Sichere Windows-Infrastrukturen ... 19
1.1 ... Warum Sicherheitsmaßnahmen? ... 19
1.2 ... Wer hinterlässt wo Spuren? ... 20
1.3 ... Was sollten Sie von den Vorschlägen in diesem Buch umsetzen? ... 20
2. Angriffsmethoden ... 23
2.1 ... Geänderte Angriffsziele oder »Identity is the new perimeter« und »Assume the breach« ... 23
2.2 ... Das AIC-Modell ... 24
2.3 ... Angriff und Verteidigung ... 26
2.4 ... Offline-Angriffe auf das Active Directory ... 38
2.5 ... Das Ausnutzen sonstiger Schwachstellen ... 38
3. Angriffswerkzeuge ... 41
3.1 ... Testumgebung ... 41
3.2 ... Mimikatz ... 43
3.3 ... DSInternals ... 58
3.4 ... PowerSploit ... 61
3.5 ... BloodHound ... 63
3.6 ... Deathstar ... 63
3.7 ... Hashcat und Cain & Abel ... 63
3.8 ... Erhöhen der Rechte ohne den Einsatz von Zusatzsoftware ... 65
3.9 ... Kali Linux ... 68
4. Authentifizierungsprotokolle ... 71
4.1 ... Domänenauthentifizierungsprotokolle ... 71
4.2 ... Remotezugriffsprotokolle ... 95
4.3 ... Webzugriffsprotokolle ... 96
5. Ein Namenskonzept planen und umsetzen ... 97
5.1 ... Planung ... 97
5.2 ... Umsetzung ... 99
6. Das Tier-Modell ... 125
6.1 ... Grundlagen eines Tier-Modells ... 125
6.2 ... Das Tier-Modell gemäß den Empfehlungen Microsofts ... 128
6.3 ... Erweitertes Tier-Modell ... 131
7. Das Least-Privilege-Prinzip ... 163
7.1 ... Allgemeine Punkte zur Vorbereitung des Least-Privilege-Prinzips ... 164
7.2 ... Werkzeuge für das Ermitteln der Zugriffsrechte ... 168
7.3 ... Die Umsetzung des Least-Privilege-Prinzips ... 176
7.4 ... Weitere Aspekte nach der Umsetzung ... 211
8. Härten von Benutzer- und Dienstkonten ... 219
8.1 ... Tipps für die Kennworterstellung bei Benutzerkonten ... 219
8.2 ... Kennworteinstellungen in einer GPO für die normalen Benutzerkennungen ... 220
8.3 ... Kennworteinstellungsobjekte (PSO) für administrative Benutzerkonten ... 222
8.4 ... Kennworteinstellungsobjekte für Dienstkonten ... 223
8.5 ... Multi-Faktor-Authentifizierung (MFA) ... 225
8.6 ... GPO für Benutzerkonten ... 230
8.7 ... Berechtigungen der Dienstkonten ... 232
8.8 ... Anmeldeberechtigungen der Dienstkonten ... 233
9. Just-in-Time- und Just-Enough-Administration ... 237
9.1 ... Just in Time Administration ... 237
9.2 ... Just Enough Administration (JEA) ... 252
10. Planung und Konfiguration der Verwaltungssysteme (PAWs) ... 277
10.1 ... Wo sollten die Verwaltungssysteme (PAWs) eingesetzt werden? ... 278
10.2 ... Dokumentation der ausgebrachten Verwaltungssysteme ... 281
10.3 ... Wie werden die Verwaltungssysteme bereitgestellt? ... 281
10.4 ... Zugriff auf die Verwaltungssysteme ... 282
10.5 ... Design der Verwaltungssysteme ... 286
10.6 ... Anbindung der Verwaltungssysteme ... 290
10.7 ... Bereitstellung von RemoteApps über eine Terminalserver-Farm im Tier-Level 0 ... 293
10.8 ... Zentralisierte Logs der Verwaltungssysteme ... 303
10.9 ... Empfehlung zu Verwendung von Verwaltungssystemen ... 303
11. Härten der Arbeitsplatzcomputer ... 305
11.1 ... Local Administrator Password Solution (LAPS) ... 305
11.2 ... BitLocker ... 317
11.3 ... Mitglieder in den lokalen administrativen Sicherheitsgruppen verwalten ... 329
11.4 ... Weitere Einstellungen: Startmenü und vorinstallierte Apps anpassen, OneDrive deinstallieren und Cortana deaktivieren ... 330
11.5 ... Härtung durch Gruppenrichtlinien ... 338
12. Härten der administrativen Systeme ... 369
12.1 ... Gruppenrichtlinieneinstellung für alle PAWs ... 369
12.2 ... Administrative Berechtigungen auf den administrativen Systemen ... 375
12.3 ... Verwaltung der administrativen Systeme ... 377
12.4 ... Firewall-Einstellungen ... 381
12.5 ... IPSec-Kommunikation ... 383
12.6 ... AppLocker-Einstellungen auf den administrativen Systemen ... 396
12.7 ... Windows Defender Credential Guard ... 398
13. Update-Management ... 403
13.1 ... Installation der Updates auf Standalone-Clients oder in kleinen Unternehmen ohne Active Directory ... 403
13.2 ... Updates mit dem WSUS-Server verwalten ... 407
13.3 ... Application Lifecycle Management ... 437
14. Administrativer Forest ... 445
14.1 ... Was ist ein Admin-Forest? ... 445
14.2 ... Einrichten eines Admin-Forests ... 448
14.3 ... Privilege Access Management-Trust (PAM-Trust) ... 476
14.4 ... Verwaltung und Troubleshooting ... 487
15. Härtung des Active Directory ... 493
15.1 ... Schützenswerte Objekte ... 493
15.2 ... Das Active Directory-Schema und die Rechte im Schema ... 509
15.3 ... Kerberos Reset (krbtgt) und Kerberoasting ... 511
15.4 ... Sinnvolles OU-Design für die AD-Umgebung ... 515
16. Netzwerkzugänge absichern ... 517
16.1 ... VPN-Zugang ... 518
16.2 ... DirectAccess einrichten ... 549
16.3 ... NAT einrichten ... 554
16.4 ... Netzwerkrichtlinienserver ... 558
16.5 ... Den Netzwerkzugriff absichern ... 578
16.6 ... Absichern des Zugriffs auf Netzwerkgeräte über das RADIUS-Protokoll ... 595
17. PKI und Zertifizierungsstellen ... 609
17.1 ... Was ist eine PKI? ... 609
17.2 ... Aufbau einer CA-Infrastruktur ... 617
17.3 ... Zertifikate verteilen und verwenden ... 654
17.4 ... Überwachung und Troubleshooting der Zertifikatdienste ... 669
18. Sicherer Betrieb ... 675
18.1 ... AD-Papierkorb ... 675
18.2 ... Umleiten der Standard-OUs für Computer und Benutzer ... 681
18.3 ... Mögliche Probleme beim Prestaging ... 682
18.4 ... Sichere Datensicherung ... 683
18.5 ... Disaster Recovery ... 697
19. Auditing ... 701
19.1 ... Die Ereignisanzeige ... 701
19.2 ... Logs zentral sammeln und archivieren ... 709
19.3 ... Konfiguration der Überwachungsrichtlinien ... 717
19.4 ... DNS-Logging ... 725
20. Reporting und Erkennen von Angriffen ... 731
20.1 ... Azure ATP und ATA ... 731
20.2 ... PowerShell-Reporting ... 736
20.3 ... Desired State Configuration ... 749
Index ... 755
Geleitwort des Fachgutachters ... 17
1. Sichere Windows-Infrastrukturen ... 19
1.1 ... Warum Sicherheitsmaßnahmen? ... 19
1.2 ... Wer hinterlässt wo Spuren? ... 20
1.3 ... Was sollten Sie von den Vorschlägen in diesem Buch umsetzen? ... 20
2. Angriffsmethoden ... 23
2.1 ... Geänderte Angriffsziele oder »Identity is the new perimeter« und »Assume the breach« ... 23
2.2 ... Das AIC-Modell ... 24
2.3 ... Angriff und Verteidigung ... 26
2.4 ... Offline-Angriffe auf das Active Directory ... 38
2.5 ... Das Ausnutzen sonstiger Schwachstellen ... 38
3. Angriffswerkzeuge ... 41
3.1 ... Testumgebung ... 41
3.2 ... Mimikatz ... 43
3.3 ... DSInternals ... 58
3.4 ... PowerSploit ... 61
3.5 ... BloodHound ... 63
3.6 ... Deathstar ... 63
3.7 ... Hashcat und Cain & Abel ... 63
3.8 ... Erhöhen der Rechte ohne den Einsatz von Zusatzsoftware ... 65
3.9 ... Kali Linux ... 68
4. Authentifizierungsprotokolle ... 71
4.1 ... Domänenauthentifizierungsprotokolle ... 71
4.2 ... Remotezugriffsprotokolle ... 95
4.3 ... Webzugriffsprotokolle ... 96
5. Ein Namenskonzept planen und umsetzen ... 97
5.1 ... Planung ... 97
5.2 ... Umsetzung ... 99
6. Das Tier-Modell ... 125
6.1 ... Grundlagen eines Tier-Modells ... 125
6.2 ... Das Tier-Modell gemäß den Empfehlungen Microsofts ... 128
6.3 ... Erweitertes Tier-Modell ... 131
7. Das Least-Privilege-Prinzip ... 163
7.1 ... Allgemeine Punkte zur Vorbereitung des Least-Privilege-Prinzips ... 164
7.2 ... Werkzeuge für das Ermitteln der Zugriffsrechte ... 168
7.3 ... Die Umsetzung des Least-Privilege-Prinzips ... 176
7.4 ... Weitere Aspekte nach der Umsetzung ... 211
8. Härten von Benutzer- und Dienstkonten ... 219
8.1 ... Tipps für die Kennworterstellung bei Benutzerkonten ... 219
8.2 ... Kennworteinstellungen in einer GPO für die normalen Benutzerkennungen ... 220
8.3 ... Kennworteinstellungsobjekte (PSO) für administrative Benutzerkonten ... 222
8.4 ... Kennworteinstellungsobjekte für Dienstkonten ... 223
8.5 ... Multi-Faktor-Authentifizierung (MFA) ... 225
8.6 ... GPO für Benutzerkonten ... 230
8.7 ... Berechtigungen der Dienstkonten ... 232
8.8 ... Anmeldeberechtigungen der Dienstkonten ... 233
9. Just-in-Time- und Just-Enough-Administration ... 237
9.1 ... Just in Time Administration ... 237
9.2 ... Just Enough Administration (JEA) ... 252
10. Planung und Konfiguration der Verwaltungssysteme (PAWs) ... 277
10.1 ... Wo sollten die Verwaltungssysteme (PAWs) eingesetzt werden? ... 278
10.2 ... Dokumentation der ausgebrachten Verwaltungssysteme ... 281
10.3 ... Wie werden die Verwaltungssysteme bereitgestellt? ... 281
10.4 ... Zugriff auf die Verwaltungssysteme ... 282
10.5 ... Design der Verwaltungssysteme ... 286
10.6 ... Anbindung der Verwaltungssysteme ... 290
10.7 ... Bereitstellung von RemoteApps über eine Terminalserver-Farm im Tier-Level 0 ... 293
10.8 ... Zentralisierte Logs der Verwaltungssysteme ... 303
10.9 ... Empfehlung zu Verwendung von Verwaltungssystemen ... 303
11. Härten der Arbeitsplatzcomputer ... 305
11.1 ... Local Administrator Password Solution (LAPS) ... 305
11.2 ... BitLocker ... 317
11.3 ... Mitglieder in den lokalen administrativen Sicherheitsgruppen verwalten ... 329
11.4 ... Weitere Einstellungen: Startmenü und vorinstallierte Apps anpassen, OneDrive deinstallieren und Cortana deaktivieren ... 330
11.5 ... Härtung durch Gruppenrichtlinien ... 338
12. Härten der administrativen Systeme ... 369
12.1 ... Gruppenrichtlinieneinstellung für alle PAWs ... 369
12.2 ... Administrative Berechtigungen auf den administrativen Systemen ... 375
12.3 ... Verwaltung der administrativen Systeme ... 377
12.4 ... Firewall-Einstellungen ... 381
12.5 ... IPSec-Kommunikation ... 383
12.6 ... AppLocker-Einstellungen auf den administrativen Systemen ... 396
12.7 ... Windows Defender Credential Guard ... 398
13. Update-Management ... 403
13.1 ... Installation der Updates auf Standalone-Clients oder in kleinen Unternehmen ohne Active Directory ... 403
13.2 ... Updates mit dem WSUS-Server verwalten ... 407
13.3 ... Application Lifecycle Management ... 437
14. Administrativer Forest ... 445
14.1 ... Was ist ein Admin-Forest? ... 445
14.2 ... Einrichten eines Admin-Forests ... 448
14.3 ... Privilege Access Management-Trust (PAM-Trust) ... 476
14.4 ... Verwaltung und Troubleshooting ... 487
15. Härtung des Active Directory ... 493
15.1 ... Schützenswerte Objekte ... 493
15.2 ... Das Active Directory-Schema und die Rechte im Schema ... 509
15.3 ... Kerberos Reset (krbtgt) und Kerberoasting ... 511
15.4 ... Sinnvolles OU-Design für die AD-Umgebung ... 515
16. Netzwerkzugänge absichern ... 517
16.1 ... VPN-Zugang ... 518
16.2 ... DirectAccess einrichten ... 549
16.3 ... NAT einrichten ... 554
16.4 ... Netzwerkrichtlinienserver ... 558
16.5 ... Den Netzwerkzugriff absichern ... 578
16.6 ... Absichern des Zugriffs auf Netzwerkgeräte über das RADIUS-Protokoll ... 595
17. PKI und Zertifizierungsstellen ... 609
17.1 ... Was ist eine PKI? ... 609
17.2 ... Aufbau einer CA-Infrastruktur ... 617
17.3 ... Zertifikate verteilen und verwenden ... 654
17.4 ... Überwachung und Troubleshooting der Zertifikatdienste ... 669
18. Sicherer Betrieb ... 675
18.1 ... AD-Papierkorb ... 675
18.2 ... Umleiten der Standard-OUs für Computer und Benutzer ... 681
18.3 ... Mögliche Probleme beim Prestaging ... 682
18.4 ... Sichere Datensicherung ... 683
18.5 ... Disaster Recovery ... 697
19. Auditing ... 701
19.1 ... Die Ereignisanzeige ... 701
19.2 ... Logs zentral sammeln und archivieren ... 709
19.3 ... Konfiguration der Überwachungsrichtlinien ... 717
19.4 ... DNS-Logging ... 725
20. Reporting und Erkennen von Angriffen ... 731
20.1 ... Azure ATP und ATA ... 731
20.2 ... PowerShell-Reporting ... 736
20.3 ... Desired State Configuration ... 749
Index ... 755
Materialien zum Buch ... 15
Geleitwort des Fachgutachters ... 17
1. Sichere Windows-Infrastrukturen ... 19
1.1 ... Warum Sicherheitsmaßnahmen? ... 19
1.2 ... Wer hinterlässt wo Spuren? ... 20
1.3 ... Was sollten Sie von den Vorschlägen in diesem Buch umsetzen? ... 20
2. Angriffsmethoden ... 23
2.1 ... Geänderte Angriffsziele oder »Identity is the new perimeter« und »Assume the breach« ... 23
2.2 ... Das AIC-Modell ... 24
2.3 ... Angriff und Verteidigung ... 26
2.4 ... Offline-Angriffe auf das Active Directory ... 38
2.5 ... Das Ausnutzen sonstiger Schwachstellen ... 38
3. Angriffswerkzeuge ... 41
3.1 ... Testumgebung ... 41
3.2 ... Mimikatz ... 43
3.3 ... DSInternals ... 58
3.4 ... PowerSploit ... 61
3.5 ... BloodHound ... 63
3.6 ... Deathstar ... 63
3.7 ... Hashcat und Cain & Abel ... 63
3.8 ... Erhöhen der Rechte ohne den Einsatz von Zusatzsoftware ... 65
3.9 ... Kali Linux ... 68
4. Authentifizierungsprotokolle ... 71
4.1 ... Domänenauthentifizierungsprotokolle ... 71
4.2 ... Remotezugriffsprotokolle ... 95
4.3 ... Webzugriffsprotokolle ... 96
5. Ein Namenskonzept planen und umsetzen ... 97
5.1 ... Planung ... 97
5.2 ... Umsetzung ... 99
6. Das Tier-Modell ... 125
6.1 ... Grundlagen eines Tier-Modells ... 125
6.2 ... Das Tier-Modell gemäß den Empfehlungen Microsofts ... 128
6.3 ... Erweitertes Tier-Modell ... 131
7. Das Least-Privilege-Prinzip ... 163
7.1 ... Allgemeine Punkte zur Vorbereitung des Least-Privilege-Prinzips ... 164
7.2 ... Werkzeuge für das Ermitteln der Zugriffsrechte ... 168
7.3 ... Die Umsetzung des Least-Privilege-Prinzips ... 176
7.4 ... Weitere Aspekte nach der Umsetzung ... 211
8. Härten von Benutzer- und Dienstkonten ... 219
8.1 ... Tipps für die Kennworterstellung bei Benutzerkonten ... 219
8.2 ... Kennworteinstellungen in einer GPO für die normalen Benutzerkennungen ... 220
8.3 ... Kennworteinstellungsobjekte (PSO) für administrative Benutzerkonten ... 222
8.4 ... Kennworteinstellungsobjekte für Dienstkonten ... 223
8.5 ... Multi-Faktor-Authentifizierung (MFA) ... 225
8.6 ... GPO für Benutzerkonten ... 230
8.7 ... Berechtigungen der Dienstkonten ... 232
8.8 ... Anmeldeberechtigungen der Dienstkonten ... 233
9. Just-in-Time- und Just-Enough-Administration ... 237
9.1 ... Just in Time Administration ... 237
9.2 ... Just Enough Administration (JEA) ... 252
10. Planung und Konfiguration der Verwaltungssysteme (PAWs) ... 277
10.1 ... Wo sollten die Verwaltungssysteme (PAWs) eingesetzt werden? ... 278
10.2 ... Dokumentation der ausgebrachten Verwaltungssysteme ... 281
10.3 ... Wie werden die Verwaltungssysteme bereitgestellt? ... 281
10.4 ... Zugriff auf die Verwaltungssysteme ... 282
10.5 ... Design der Verwaltungssysteme ... 286
10.6 ... Anbindung der Verwaltungssysteme ... 290
10.7 ... Bereitstellung von RemoteApps über eine Terminalserver-Farm im Tier-Level 0 ... 293
10.8 ... Zentralisierte Logs der Verwaltungssysteme ... 303
10.9 ... Empfehlung zu Verwendung von Verwaltungssystemen ... 303
11. Härten der Arbeitsplatzcomputer ... 305
11.1 ... Local Administrator Password Solution (LAPS) ... 305
11.2 ... BitLocker ... 317
11.3 ... Mitglieder in den lokalen administrativen Sicherheitsgruppen verwalten ... 329
11.4 ... Weitere Einstellungen: Startmenü und vorinstallierte Apps anpassen, OneDrive deinstallieren und Cortana deaktivieren ... 330
11.5 ... Härtung durch Gruppenrichtlinien ... 338
12. Härten der administrativen Systeme ... 369
12.1 ... Gruppenrichtlinieneinstellung für alle PAWs ... 369
12.2 ... Administrative Berechtigungen auf den administrativen Systemen ... 375
12.3 ... Verwaltung der administrativen Systeme ... 377
12.4 ... Firewall-Einstellungen ... 381
12.5 ... IPSec-Kommunikation ... 383
12.6 ... AppLocker-Einstellungen auf den administrativen Systemen ... 396
12.7 ... Windows Defender Credential Guard ... 398
13. Update-Management ... 403
13.1 ... Installation der Updates auf Standalone-Clients oder in kleinen Unternehmen ohne Active Directory ... 403
13.2 ... Updates mit dem WSUS-Server verwalten ... 407
13.3 ... Application Lifecycle Management ... 437
14. Administrativer Forest ... 445
14.1 ... Was ist ein Admin-Forest? ... 445
14.2 ... Einrichten eines Admin-Forests ... 448
14.3 ... Privilege Access Management-Trust (PAM-Trust) ... 476
14.4 ... Verwaltung und Troubleshooting ... 487
15. Härtung des Active Directory ... 493
15.1 ... Schützenswerte Objekte ... 493
15.2 ... Das Active Directory-Schema und die Rechte im Schema ... 509
15.3 ... Kerberos Reset (krbtgt) und Kerberoasting ... 511
15.4 ... Sinnvolles OU-Design für die AD-Umgebung ... 515
16. Netzwerkzugänge absichern ... 517
16.1 ... VPN-Zugang ... 518
16.2 ... DirectAccess einrichten ... 549
16.3 ... NAT einrichten ... 554
16.4 ... Netzwerkrichtlinienserver ... 558
16.5 ... Den Netzwerkzugriff absichern ... 578
16.6 ... Absichern des Zugriffs auf Netzwerkgeräte über das RADIUS-Protokoll ... 595
17. PKI und Zertifizierungsstellen ... 609
17.1 ... Was ist eine PKI? ... 609
17.2 ... Aufbau einer CA-Infrastruktur ... 617
17.3 ... Zertifikate verteilen und verwenden ... 654
17.4 ... Überwachung und Troubleshooting der Zertifikatdienste ... 669
18. Sicherer Betrieb ... 675
18.1 ... AD-Papierkorb ... 675
18.2 ... Umleiten der Standard-OUs für Computer und Benutzer ... 681
18.3 ... Mögliche Probleme beim Prestaging ... 682
18.4 ... Sichere Datensicherung ... 683
18.5 ... Disaster Recovery ... 697
19. Auditing ... 701
19.1 ... Die Ereignisanzeige ... 701
19.2 ... Logs zentral sammeln und archivieren ... 709
19.3 ... Konfiguration der Überwachungsrichtlinien ... 717
19.4 ... DNS-Logging ... 725
20. Reporting und Erkennen von Angriffen ... 731
20.1 ... Azure ATP und ATA ... 731
20.2 ... PowerShell-Reporting ... 736
20.3 ... Desired State Configuration ... 749
Index ... 755
Geleitwort des Fachgutachters ... 17
1. Sichere Windows-Infrastrukturen ... 19
1.1 ... Warum Sicherheitsmaßnahmen? ... 19
1.2 ... Wer hinterlässt wo Spuren? ... 20
1.3 ... Was sollten Sie von den Vorschlägen in diesem Buch umsetzen? ... 20
2. Angriffsmethoden ... 23
2.1 ... Geänderte Angriffsziele oder »Identity is the new perimeter« und »Assume the breach« ... 23
2.2 ... Das AIC-Modell ... 24
2.3 ... Angriff und Verteidigung ... 26
2.4 ... Offline-Angriffe auf das Active Directory ... 38
2.5 ... Das Ausnutzen sonstiger Schwachstellen ... 38
3. Angriffswerkzeuge ... 41
3.1 ... Testumgebung ... 41
3.2 ... Mimikatz ... 43
3.3 ... DSInternals ... 58
3.4 ... PowerSploit ... 61
3.5 ... BloodHound ... 63
3.6 ... Deathstar ... 63
3.7 ... Hashcat und Cain & Abel ... 63
3.8 ... Erhöhen der Rechte ohne den Einsatz von Zusatzsoftware ... 65
3.9 ... Kali Linux ... 68
4. Authentifizierungsprotokolle ... 71
4.1 ... Domänenauthentifizierungsprotokolle ... 71
4.2 ... Remotezugriffsprotokolle ... 95
4.3 ... Webzugriffsprotokolle ... 96
5. Ein Namenskonzept planen und umsetzen ... 97
5.1 ... Planung ... 97
5.2 ... Umsetzung ... 99
6. Das Tier-Modell ... 125
6.1 ... Grundlagen eines Tier-Modells ... 125
6.2 ... Das Tier-Modell gemäß den Empfehlungen Microsofts ... 128
6.3 ... Erweitertes Tier-Modell ... 131
7. Das Least-Privilege-Prinzip ... 163
7.1 ... Allgemeine Punkte zur Vorbereitung des Least-Privilege-Prinzips ... 164
7.2 ... Werkzeuge für das Ermitteln der Zugriffsrechte ... 168
7.3 ... Die Umsetzung des Least-Privilege-Prinzips ... 176
7.4 ... Weitere Aspekte nach der Umsetzung ... 211
8. Härten von Benutzer- und Dienstkonten ... 219
8.1 ... Tipps für die Kennworterstellung bei Benutzerkonten ... 219
8.2 ... Kennworteinstellungen in einer GPO für die normalen Benutzerkennungen ... 220
8.3 ... Kennworteinstellungsobjekte (PSO) für administrative Benutzerkonten ... 222
8.4 ... Kennworteinstellungsobjekte für Dienstkonten ... 223
8.5 ... Multi-Faktor-Authentifizierung (MFA) ... 225
8.6 ... GPO für Benutzerkonten ... 230
8.7 ... Berechtigungen der Dienstkonten ... 232
8.8 ... Anmeldeberechtigungen der Dienstkonten ... 233
9. Just-in-Time- und Just-Enough-Administration ... 237
9.1 ... Just in Time Administration ... 237
9.2 ... Just Enough Administration (JEA) ... 252
10. Planung und Konfiguration der Verwaltungssysteme (PAWs) ... 277
10.1 ... Wo sollten die Verwaltungssysteme (PAWs) eingesetzt werden? ... 278
10.2 ... Dokumentation der ausgebrachten Verwaltungssysteme ... 281
10.3 ... Wie werden die Verwaltungssysteme bereitgestellt? ... 281
10.4 ... Zugriff auf die Verwaltungssysteme ... 282
10.5 ... Design der Verwaltungssysteme ... 286
10.6 ... Anbindung der Verwaltungssysteme ... 290
10.7 ... Bereitstellung von RemoteApps über eine Terminalserver-Farm im Tier-Level 0 ... 293
10.8 ... Zentralisierte Logs der Verwaltungssysteme ... 303
10.9 ... Empfehlung zu Verwendung von Verwaltungssystemen ... 303
11. Härten der Arbeitsplatzcomputer ... 305
11.1 ... Local Administrator Password Solution (LAPS) ... 305
11.2 ... BitLocker ... 317
11.3 ... Mitglieder in den lokalen administrativen Sicherheitsgruppen verwalten ... 329
11.4 ... Weitere Einstellungen: Startmenü und vorinstallierte Apps anpassen, OneDrive deinstallieren und Cortana deaktivieren ... 330
11.5 ... Härtung durch Gruppenrichtlinien ... 338
12. Härten der administrativen Systeme ... 369
12.1 ... Gruppenrichtlinieneinstellung für alle PAWs ... 369
12.2 ... Administrative Berechtigungen auf den administrativen Systemen ... 375
12.3 ... Verwaltung der administrativen Systeme ... 377
12.4 ... Firewall-Einstellungen ... 381
12.5 ... IPSec-Kommunikation ... 383
12.6 ... AppLocker-Einstellungen auf den administrativen Systemen ... 396
12.7 ... Windows Defender Credential Guard ... 398
13. Update-Management ... 403
13.1 ... Installation der Updates auf Standalone-Clients oder in kleinen Unternehmen ohne Active Directory ... 403
13.2 ... Updates mit dem WSUS-Server verwalten ... 407
13.3 ... Application Lifecycle Management ... 437
14. Administrativer Forest ... 445
14.1 ... Was ist ein Admin-Forest? ... 445
14.2 ... Einrichten eines Admin-Forests ... 448
14.3 ... Privilege Access Management-Trust (PAM-Trust) ... 476
14.4 ... Verwaltung und Troubleshooting ... 487
15. Härtung des Active Directory ... 493
15.1 ... Schützenswerte Objekte ... 493
15.2 ... Das Active Directory-Schema und die Rechte im Schema ... 509
15.3 ... Kerberos Reset (krbtgt) und Kerberoasting ... 511
15.4 ... Sinnvolles OU-Design für die AD-Umgebung ... 515
16. Netzwerkzugänge absichern ... 517
16.1 ... VPN-Zugang ... 518
16.2 ... DirectAccess einrichten ... 549
16.3 ... NAT einrichten ... 554
16.4 ... Netzwerkrichtlinienserver ... 558
16.5 ... Den Netzwerkzugriff absichern ... 578
16.6 ... Absichern des Zugriffs auf Netzwerkgeräte über das RADIUS-Protokoll ... 595
17. PKI und Zertifizierungsstellen ... 609
17.1 ... Was ist eine PKI? ... 609
17.2 ... Aufbau einer CA-Infrastruktur ... 617
17.3 ... Zertifikate verteilen und verwenden ... 654
17.4 ... Überwachung und Troubleshooting der Zertifikatdienste ... 669
18. Sicherer Betrieb ... 675
18.1 ... AD-Papierkorb ... 675
18.2 ... Umleiten der Standard-OUs für Computer und Benutzer ... 681
18.3 ... Mögliche Probleme beim Prestaging ... 682
18.4 ... Sichere Datensicherung ... 683
18.5 ... Disaster Recovery ... 697
19. Auditing ... 701
19.1 ... Die Ereignisanzeige ... 701
19.2 ... Logs zentral sammeln und archivieren ... 709
19.3 ... Konfiguration der Überwachungsrichtlinien ... 717
19.4 ... DNS-Logging ... 725
20. Reporting und Erkennen von Angriffen ... 731
20.1 ... Azure ATP und ATA ... 731
20.2 ... PowerShell-Reporting ... 736
20.3 ... Desired State Configuration ... 749
Index ... 755