Kloep / Weigel | Sichere Windows-Infrastrukturen | E-Book | www.sack.de
E-Book

E-Book, Deutsch, 811 Seiten

Reihe: Rheinwerk Computing

Kloep / Weigel Sichere Windows-Infrastrukturen

Das Handbuch für Administratoren
2. Auflage 2023
ISBN: 978-3-8362-9251-1
Verlag: Rheinwerk
Format: EPUB
 Kopierschutz: 0 - No protection

Das Handbuch für Administratoren

E-Book, Deutsch, 811 Seiten

Reihe: Rheinwerk Computing

ISBN: 978-3-8362-9251-1
Verlag: Rheinwerk
Format: EPUB
 Kopierschutz: 0 - No protection

Schützen Sie Windows-Systeme und Windows-Infrastrukturen vor Angreifern

Assume the breach! In einer Zeit der Hacker und Cyberkriminellen ist nicht mehr die Frage, ob Ihre Infrastruktur Ziel eines Angriffs wird, sondern wie gut Sie dafür gewappnet sind. Microsoft gibt Ihnen für die Sicherheit Ihrer IT eine Reihe an Security-Werkzeugen an die Hand. Es kommt aber darauf an, dass Sie diese Tools richtig einsetzen, um die größtmögliche Wirkung gegen Angreifer zu erzielen. Und dafür müssen Sie wissen, wie Angreifer beim Hacking vorgehen.

Dieser Leitfaden ist geschrieben von zwei ausgewiesenen Security-Profis . Sie erklären Ihnen, welche Security-Maßnahmen gegen welche Angriffsvektoren sinnvoll und nachweisbar effektiv sind. Denn mit den richtigen Administrationsmethoden machen Sie es Angreifern schwer und sorgen dafür, dass wichtige Daten sicher bleiben und kein Schaden an der IT entsteht. Zahlreiche Best Practices und Beispiele aus dem Alltag der Security-Experten zeigen Ihnen, wie Sie Ihre Windows-Systeme härten und sich auf den Ernstfall vorbereiten.

Neu in der 2. Auflage: Hinweise für die Migration bestehender Umgebungen und Handschlungsvorschläge für die Disaster Recovery

  • Absicherung der administrativen Konten mit Tier-Modell und Admin-Forest
  • Praktische Beispiele für die Härtung Ihrer IT-Systeme
  • Kerberos, PKI und CA, Credential Guard und Bitlocker richtig einsetzen
  • Patching, Auditing, Monitoring und Reporting

Aus dem Inhalt:

  • Angriffsmethoden und Werkzeuge
  • Systeme härten und sichere Administration
  • Authentifizierungsprotokolle
  • Least-Privilege-Prinzip und Tier-Modell
  • Credential Guard und Remote Credential Guard
  • Admin Forest und PAM-Trust
  • Administration: Just in time und Just enough
  • Update-Management mit WSUS
  • PKI und CA
  • Auditing, Monitoring und Reporting
  • Disaster Recovery: Gut vorbereitet für den Ernstfall
  • Migrationsguide: Von der Legacy-Umgebung zur modernen Infrastruktur
Kloep / Weigel Sichere Windows-Infrastrukturen jetzt bestellen!

Autoren/Hrsg.

Kloep, Peter
Weigel, Karsten

Weitere Infos & Material

  Materialien zum Buch ... 17

  Geleitwort des Fachgutachters ... 19

  1.  Sichere Windows-Infrastrukturen ... 21


       1.1 ... Warum Sicherheitsmaßnahmen? ... 21

       1.2 ... Wer hinterlässt wo Spuren? ... 22

       1.3 ... Was sollten Sie von den Vorschlägen in diesem Buch umsetzen? ... 23

  2.  Angriffsmethoden ... 25


       2.1 ... Geänderte Angriffsziele oder »Identity is the new perimeter« und »Assume the breach« ... 25

       2.2 ... Das AIC-Modell ... 26

       2.3 ... Angriff und Verteidigung ... 28

       2.4 ... Offline-Angriffe auf das Active Directory ... 39

       2.5 ... Das Ausnutzen sonstiger Schwachstellen ... 40

  3.  Angriffswerkzeuge ... 41


       3.1 ... Testumgebung ... 41

       3.2 ... Mimikatz ... 43

       3.3 ... DSInternals ... 58

       3.4 ... PowerSploit ... 62

       3.5 ... BloodHound ... 64

       3.6 ... Deathstar ... 64

       3.7 ... Hashcat und Cain & Abel ... 64

       3.8 ... Erhöhen der Rechte ohne den Einsatz von Zusatzsoftware ... 66

       3.9 ... Kali Linux ... 69

  4.  Authentifizierungsprotokolle ... 71


       4.1 ... Domänenauthentifizierungsprotokolle ... 71

       4.2 ... Remotezugriffsprotokolle ... 94

       4.3 ... Webzugriffsprotokolle ... 95

  5.  Ein Namenskonzept planen und umsetzen ... 97


       5.1 ... Planung ... 97

       5.2 ... Umsetzung ... 99

  6.  Das Tier-Modell ... 125


       6.1 ... Grundlagen eines Tier-Modells ... 125

       6.2 ... Das Tier-Modell gemäß den Empfehlungen Microsofts ... 128

       6.3 ... Erweitertes Tier-Modell ... 131

  7.  Das Least-Privilege-Prinzip ... 165


       7.1 ... Allgemeine Punkte zur Vorbereitung des Least-Privilege-Prinzips ... 166

       7.2 ... Werkzeuge für das Ermitteln der Zugriffsrechte ... 170

       7.3 ... Die Umsetzung des Least-Privilege-Prinzips ... 178

       7.4 ... Sicherheitsgruppen im Active Directory für die lokalen und Rollenadministratoren ... 213

       7.5 ... Weitere Aspekte nach der Umsetzung ... 217

  8.  Härten von Benutzer- und Dienstkonten ... 225


       8.1 ... Tipps für die Kennworterstellung bei Benutzerkonten ... 225

       8.2 ... Kennworteinstellungen in einer GPO für die normalen Benutzerkennungen ... 226

       8.3 ... Kennworteinstellungsobjekte (PSOs) für administrative Benutzerkonten ... 228

       8.4 ... Kennworteinstellungsobjekte für Dienstkonten ... 229

       8.5 ... Multi-Faktor-Authentifizierung (MFA) ... 231

       8.6 ... GPO für Benutzerkonten ... 236

       8.7 ... Berechtigungen der Dienstkonten ... 238

       8.8 ... Anmeldeberechtigungen der Dienstkonten ... 239

  9.  Just-in-Time- und Just-Enough-Administration ... 243


       9.1 ... Just in Time Administration ... 243

       9.2 ... Just Enough Administration (JEA) ... 259

10.  Planung und Konfiguration der Verwaltungssysteme (PAWs) ... 285


       10.1 ... Wo sollten die Verwaltungssysteme (PAWs) eingesetzt werden? ... 286

       10.2 ... Dokumentation der ausgebrachten Verwaltungssysteme ... 289

       10.3 ... Wie werden die Verwaltungssysteme bereitgestellt? ... 289

       10.4 ... Zugriff auf die Verwaltungssysteme ... 290

       10.5 ... Design der Verwaltungssysteme ... 294

       10.6 ... Anbindung der Verwaltungssysteme ... 298

       10.7 ... Bereitstellung von RemoteApps über eine Terminalserver-Farm im Tier-Level 0 ... 301

       10.8 ... Zentralisierte Logs der Verwaltungssysteme ... 310

       10.9 ... Empfehlung zur Verwendung von Verwaltungssystemen ... 311

11.  Härten der Arbeitsplatzcomputer ... 313


       11.1 ... Local Administrator Password Solution (LAPS) ... 313

       11.2 ... BitLocker ... 329

       11.3 ... Mitglieder in den lokalen administrativen Sicherheitsgruppen verwalten ... 343

       11.4 ... Weitere Einstellungen: Startmenü und vorinstallierte Apps anpassen, OneDrive deinstallieren und Cortana deaktivieren ... 344

       11.5 ... Härtung durch Gruppenrichtlinien ... 352

12.  Härten der administrativen Systeme ... 383


       12.1 ... Gruppenrichtlinieneinstellungen für alle PAWs ... 383

       12.2 ... Administrative Berechtigungen auf den administrativen Systemen ... 389

       12.3 ... Verwaltung der administrativen Systeme ... 392

       12.4 ... Firewall-Einstellungen ... 395

       12.5 ... IPSec-Kommunikation ... 397

       12.6 ... AppLocker-Einstellungen auf den administrativen Systemen ... 410

       12.7 ... Windows Defender Credential Guard ... 412

13.  Update-Management ... 417


       13.1 ... Installation der Updates auf Standalone-Clients oder in kleinen Unternehmen ohne Active Directory ... 417

       13.2 ... Updates mit dem WSUS-Server verwalten ... 421

       13.3 ... Application Lifecycle Management ... 451

14.  Der administrative Forest ... 459


       14.1 ... Was ist ein Admin-Forest? ... 459

       14.2 ... Einrichten eines Admin-Forests ... 462

       14.3 ... Privilege Access Management-Trust (PAM-Trust) ... 489

       14.4 ... Verwaltung und Troubleshooting ... 501

15.  Härtung des Active Directory ... 507


       15.1 ... Schützenswerte Objekte ... 507

       15.2 ... Das Active Directory-Schema und die Rechte im Schema ... 522

       15.3 ... Kerberos-Reset (krbtgt) und Kerberoasting ... 524

       15.4 ... Sinnvolles OU-Design für die AD-Umgebung ... 528

16.  Netzwerkzugänge absichern ... 531


       16.1 ... VPN-Zugang ... 532

       16.2 ... DirectAccess einrichten ... 563

       16.3 ... NAT einrichten ... 568

       16.4 ... Der Netzwerkrichtlinienserver ... 572

       16.5 ... Den Netzwerkzugriff absichern ... 591

       16.6 ... Absichern des Zugriffs auf Netzwerkgeräte über das RADIUS-Protokoll ... 610

17.  PKI und Zertifizierungsstellen ... 625


       17.1 ... Was ist eine PKI? ... 625

       17.2 ... Aufbau einer CA-Infrastruktur ... 633

       17.3 ... Zertifikate verteilen und verwenden ... 670

       17.4 ... Überwachung und Troubleshooting der Zertifikatdienste ... 684

       17.5 ... Bevorstehende Änderungen und aktuelle Herausforderungen mit einer Microsoft-Zertifizierungsstelle ... 689

18.  Sicherer Betrieb ... 693


       18.1 ... AD-Papierkorb ... 693

       18.2 ... Umleiten der Standard-OUs für Computer und Benutzer ... 699

       18.3 ... Mögliche Probleme beim Prestaging ... 700

       18.4 ... Sichere Datensicherung ... 701

       18.5 ... Die Sicherheitsbezeichner (SIDs) dokumentieren ... 715

19.  Auditing ... 717


       19.1 ... Die Ereignisanzeige ... 717

       19.2 ... Logs zentral sammeln und archivieren ... 725

       19.3 ... Konfiguration der Überwachungsrichtlinien ... 735

       19.4 ... DNS-Logging ... 744

20.  Reporting und Erkennen von Angriffen ... 749


       20.1 ... Azure ATP und ATA ... 749

       20.2 ... PowerShell-Reporting ... 754

       20.3 ... Desired State Configuration ... 767

21.  Disaster Recovery ... 773


       21.1 ... Disaster Recovery planen ... 773

       21.2 ... Forest Recovery ... 777

       21.3 ... Die Gruppenrichtlinien-Infrastruktur wiederherstellen ... 778

       21.4 ... Snapshots verwenden ... 780

       21.5 ... Das DC-Computerpasswort ist »out-of-sync« ... 782

22.  Praktische Implementierung der Sicherheitsmaßnahmen ... 785


       22.1 ... Bestandsanalyse ... 785

       22.2 ... Welche Maßnahmen sind für mich geeignet bzw. wie aufwendig ist die Umsetzung? ... 790

       22.3 ... Wie fange ich an? ... 800

  Index ... 803

Weigel, Karsten
Karsten Weigel arbeitet seit über 20 Jahren administrativ und beratend im IT-Umfeld. Er ist Microsoft Certified Solutions Associate und als Microsoft Certified Technology Specialist ausgewiesener Experte für Netzwerkinfrastruktur, Windows Server und Active Directory. Als technischer Projektverantwortlicher verfügt er über langjährige Erfahrungen in der Systemmigration von heterogenen Windows-Umgebungen. Derzeit ist er als Enterpriseadministrator für ein weltweit betriebenes Active Directory verantwortlich und ist technischer Ansprechpartner gegenüber dem Herstellersupport.

Kloep, Peter
Peter Kloep ist ein herausragender Experte für sichere Windows-Infrastrukturen im deutschsprachigen Raum. Seit 2002 ist er Microsoft Certified Trainer und hat seitdem zahlreiche technische Trainings zur Windows-Administration durchgeführt. Außerdem ist er Microsoft Certified Systems Engineer und Microsoft Certified Solutions Expert – Windows Server 2012.Er war bei Microsoft als Premier Field Engineer tätig und unterstützte dort Premier-Kunden in den Bereichen Identity Management und Security. Er kennt daher die in diesem Buch beschriebenen Fragestellungen aus der Praxis, ist mit den Ansprüchen der Unternehmen vertraut und geht gezielt auf potentielle Fallstricke und Probleme ein.

Ihre Fragen, Wünsche oder Anmerkungen
Vorname*
Nachname*
Ihre E-Mail-Adresse*
Kundennr.
Ihre Nachricht*
Lediglich mit * gekennzeichnete Felder sind Pflichtfelder.
Wenn Sie die im Kontaktformular eingegebenen Daten durch Klick auf den nachfolgenden Button übersenden, erklären Sie sich damit einverstanden, dass wir Ihr Angaben für die Beantwortung Ihrer Anfrage verwenden. Selbstverständlich werden Ihre Daten vertraulich behandelt und nicht an Dritte weitergegeben. Sie können der Verwendung Ihrer Daten jederzeit widersprechen. Das Datenhandling bei Sack Fachmedien erklären wir Ihnen in unserer Datenschutzerklärung.