Masterclass AD Security Base SADDD-L1

Masterclass Active Directory Security (AD3) - SADDD-L1 - Wiederholung der Best-Practices zur Installation von Domänen-Controllern aus 20 Jahren Erfahrung als ADDS-Senior-Consultant - Hausgemachte Sicherheitsprobleme im Active Directory (Kerberos verstehen, NTLM vs. Kerberos, SMB: SMB-Versionen/Angriffs-Szenarien/Sicherer Einsatz von SMB, PAC_Validation und die Probleme mit der Microsoft-Implementierung von Kerberos - en detail, PTH - Pass the Hash - inklusive Live-Attacke mit allen Teilnehmern, Silver Ticket, Golden Ticket, Skeleton Key - Kerberos Ticket Service (Kerberos verstehen, Kerberos-Passwörter ändern: Warum und wie…, Kerberos-Passwörter ändern: Der Königsweg ohne Ausfälle) - Credential-Thefting verhindern - Ein DeepDive: Angriffs-Szenarie (Pass-the-Hash, Silver-Ticket, GoldenTicket, Skeleton-Key) und Credential-Thefting verhindern (Windows Defender Credential Guard konfigurieren, Windows Defender Remote Credential Guard Bitlocker, Windows Defender Device Guard einsetzen, AppLocker einsetzen, Windows Defender Application Guard einsetzen) - Konzepte verstehen: Tier.Modelle betreiben, Von Red-Forest, Golden-Forest und Bastion Forests, Single-Domain-Modell hochsicher - Clean-Installation-Source (Hash-Werte der *.iso-Dateien verifizieren, Fciv.exe, Powershell, 7zip und IgorHasher) - Aufsetzen des ersten Domänencontrollers (ms-ds-machineaccountquota verstehen, redircmp einsetzen für neue Computer-Systeme, redirusr einsetzen für neue User, Bitlocker, Bitlocker und TPM 1.2 vs. 2.0, Bitlocker und PreBoot-Authentifizierung, AppLocker, Monitoring (AD-Audit-Plus, CyberArk), Sicheres Backup und Recovery von Bitlocker-geschützen Backup-Volumes, Firewalling auf Domänencontrollern, IPSEC mit RDP konfigurieren, Härten der Domänencontroller nach (Center of Internet Security, gpPack& PaT, SIM, LDA, Microsoft-Tools) - Aufsetzen weitere Domänencontroller - Secure Deployment von Domänencontrollern, Memberservern und Clients via MDT (Installation und Konfiguration von MDT hochsicher, Härtung von MDT-Servern, Ausrollen hochsicherer Memberserver und Clients) - Domänen-Controller sicher via IPSEC betreiben (IPSEC konfigurieren und einsetzen, IPSEC Monitoring via MMC) - PKI-Server aufsetzen als interne Trusted-ROOT-CA (PKI konfigurieren, Automatisches Zertifikats-Deployment aktivieren via Gruppenrichtlinien, Enrollement von Nicht-Standard-Zertifikaten, Härten der PKI nach (Center of Internet Security, gpPack& PaT, SIM, LDA, Microsoft-Tools)) - Jump-Server und Priviliged Acccess-Workstation (PAW) - Konzepte verstehen und umsetzen, Jump-Server aufsetzen und konfigurieren (RSAT-Installation, ADMIN-Center installieren mit gültigem Zertifikat einer Trusted-Root-PKI, Bitlocker, Bitlocker und TPM 1.2 vs. 2.0, Bitlocker und PreBoot-Authentifizierung, AppLocker, IPSEC mit RDP konfigurieren, Backup von Jump-Server auf bitlocker-geschützte Volumes, Firewalling auf JUMP-Servern), Härten der Jump-Server nach (Center of Internet Security, gpPack& PaT, SIM, LDA, Microsoft-Tools), PAW aufsetzen und konfigurieren (Bitlocker, Bitlocker und TPM 1.2 vs. 2.0, Bitlocker und PreBoot-Authentifizierung, AppLocker, IPSEC und RDP konfigurieren, Backup von PAWs auf bitlocker-geschützte Volumes, Firewalling auf PAWs), Härten der Domänencontroller nach (Center of Internet Security, gpPack& PaT, SIM, LDA, Microsoft-Tools)) - Sicherheit in Domänen-Netzwerken (802.1X mit (MAC-Adressen, Zertifikaten), MAC-Flooding auf Switchen (Hubbing-Mode ausschalten, IPSEC mit Kerberos und Zertifikaten), Windows Defender Advanced Threat Protection (WDATP): Konzept von WDATP verstehen, WDATP ausrollen und monitoren, WDATP auf Domänencontrollern…, WDATP auf Jump-Servern und PAWs, WDATP auf Windows 10 Clients