Assume the breach! Heutzutage ist nicht mehr die Frage, ob Ihre Infrastruktur Ziel eines Angriffs wird, sondern ob Sie darauf gewappnet sind. Microsoft gibt Ihnen dazu einen Reihe Werkzeuge an die Hand, und dieser Leitfaden zeigt Ihnen, wie Sie sie richtig einsetzen. Mit den richtigen Administrationsmethoden erschweren Sie so den Angriff und sorgen dafür, dass wichtige Daten sicher bleiben und kein Schaden entsteht. Zahlreiche Best Practices und Hinweise aus der Praxis erklären Ihnen, wie Sie Ihre Systeme absichern und sich auf den Ernstfall vorbereiten.

Patching, Auditing, Monitoring und Reporting

Materialien zum Buch ... 15 Geleitwort des Fachgutachters ... 17 1. Sichere Windows-Infrastrukturen ... 19 1.1 ... Warum Sicherheitsmaßnahmen? ... 19 1.2 ... Wer hinterlässt wo Spuren? ... 20 1.3 ... Was sollten Sie von den Vorschlägen in diesem Buch umsetzen? ... 20 2. Angriffsmethoden ... 23 2.1 ... Geänderte Angriffsziele oder »Identity is the new perimeter« und »Assume the breach« ... 23 2.2 ... Das AIC-Modell ... 24 2.3 ... Angriff und Verteidigung ... 26 2.4 ... Offline-Angriffe auf das Active Directory ... 38 2.5 ... Das Ausnutzen sonstiger Schwachstellen ... 38 3. Angriffswerkzeuge ... 41 3.1 ... Testumgebung ... 41 3.2 ... Mimikatz ... 43 3.3 ... DSInternals ... 58 3.4 ... PowerSploit ... 61 3.5 ... BloodHound ... 63 3.6 ... Deathstar ... 63 3.7 ... Hashcat und Cain & Abel ... 63 3.8 ... Erhöhen der Rechte ohne den Einsatz von Zusatzsoftware ... 65 3.9 ... Kali Linux ... 68 4. Authentifizierungsprotokolle ... 71 4.1 ... Domänenauthentifizierungsprotokolle ... 71 4.2 ... Remotezugriffsprotokolle ... 95 4.3 ... Webzugriffsprotokolle ... 96 5. Ein Namenskonzept planen und umsetzen ... 97 5.1 ... Planung ... 97 5.2 ... Umsetzung ... 99 6. Das Tier-Modell ... 125 6.1 ... Grundlagen eines Tier-Modells ... 125 6.2 ... Das Tier-Modell gemäß den Empfehlungen Microsofts ... 128 6.3 ... Erweitertes Tier-Modell ... 131 7. Das Least-Privilege-Prinzip ... 163 7.1 ... Allgemeine Punkte zur Vorbereitung des Least-Privilege-Prinzips ... 164 7.2 ... Werkzeuge für das Ermitteln der Zugriffsrechte ... 168 7.3 ... Die Umsetzung des Least-Privilege-Prinzips ... 176 7.4 ... Weitere Aspekte nach der Umsetzung ... 211 8. Härten von Benutzer- und Dienstkonten ... 219 8.1 ... Tipps für die Kennworterstellung bei Benutzerkonten ... 219 8.2 ... Kennworteinstellungen in einer GPO für die normalen Benutzerkennungen ... 220 8.3 ... Kennworteinstellungsobjekte (PSO) für administrative Benutzerkonten ... 222 8.4 ... Kennworteinstellungsobjekte für Dienstkonten ... 223 8.5 ... Multi-Faktor-Authentifizierung (MFA) ... 225 8.6 ... GPO für Benutzerkonten ... 230 8.7 ... Berechtigungen der Dienstkonten ... 232 8.8 ... Anmeldeberechtigungen der Dienstkonten ... 233 9. Just-in-Time- und Just-Enough-Administration ... 237 9.1 ... Just in Time Administration ... 237 9.2 ... Just Enough Administration (JEA) ... 25210. Planung und Konfiguration der Verwaltungssysteme (PAWs) ... 277 10.1 ... Wo sollten die Verwaltungssysteme (PAWs) eingesetzt werden? ... 278 10.2 ... Dokumentation der ausgebrachten Verwaltungssysteme ... 281 10.3 ... Wie werden die Verwaltungssysteme bereitgestellt? ... 281 10.4 ... Zugriff auf die Verwaltungssysteme ... 282 10.5 ... Design der Verwaltungssysteme ... 286 10.6 ... Anbindung der Verwaltungssysteme ... 290 10.7 ... Bereitstellung von RemoteApps über eine Terminalserver-Farm im Tier-Level 0 ... 293 10.8 ... Zentralisierte Logs der Verwaltungssysteme ... 303 10.9 ... Empfehlung zu Verwendung von Verwaltungssystemen ... 30311. Härten der Arbeitsplatzcomputer ... 305 11.1 ... Local Administrator Password Solution (LAPS) ... 305 11.2 ... BitLocker ... 317 11.3 ... Mitglieder in den lokalen administrativen Sicherheitsgruppen verwalten ... 329 11.4 ... Weitere Einstellungen: Startmenü und vorinstallierte Apps anpassen, OneDrive deinstallieren und Cortana deaktivieren ... 330 11.5 ... Härtung durch Gruppenrichtlinien ... 33812. Härten der administrativen Systeme ... 369 12.1 ... Gruppenrichtlinieneinstellung für alle PAWs ... 369 12.2 ... Administrative Berechtigungen auf den administrativen Systemen ... 375 12.3 ... Verwaltung der administrativen Systeme ... 377 12.4 ... Firewall-Einstellungen ... 381 12.5 ... IPSec-Kommunikation ... 383 12.6 ... AppLocker-Einstellungen auf den administrativen Systemen ... 396 12.7 ... Windows Defender Credential Guard ... 39813. Update-Management ... 403 13.1 ... Installation der Updates auf Standalone-Clients oder in kleinen Unternehmen ohne Active Directory ... 403 13.2 ... Updates mit dem WSUS-Server verwalten ... 407 13.3 ... Application Lifecycle Management ... 43714. Administrativer Forest ... 445 14.1 ... Was ist ein Admin-Forest? ... 445 14.2 ... Einrichten eines Admin-Forests ... 448 14.3 ... Privilege Access Management-Trust (PAM-Trust) ... 476 14.4 ... Verwaltung und Troubleshooting ... 48715. Härtung des Active Directory ... 493 15.1 ... Schützenswerte Objekte ... 493 15.2 ... Das Active Directory-Schema und die Rechte im Schema ... 509 15.3 ... Kerberos Reset (krbtgt) und Kerberoasting ... 511 15.4 ... Sinnvolles OU-Design für die AD-Umgebung ... 51516. Netzwerkzugänge absichern ... 517 16.1 ... VPN-Zugang ... 518 16.2 ... DirectAccess einrichten ... 549 16.3 ... NAT einrichten ... 554 16.4 ... Netzwerkrichtlinienserver ... 558 16.5 ... Den Netzwerkzugriff absichern ... 578 16.6 ... Absichern des Zugriffs auf Netzwerkgeräte über das RADIUS-Protokoll ... 59517. PKI und Zertifizierungsstellen ... 609 17.1 ... Was ist eine PKI? ... 609 17.2 ... Aufbau einer CA-Infrastruktur ... 617 17.3 ... Zertifikate verteilen und verwenden ... 654 17.4 ... Überwachung und Troubleshooting der Zertifikatdienste ... 66918. Sicherer Betrieb ... 675 18.1 ... AD-Papierkorb ... 675 18.2 ... Umleiten der Standard-OUs für Computer und Benutzer ... 681 18.3 ... Mögliche Probleme beim Prestaging ... 682 18.4 ... Sichere Datensicherung ... 683 18.5 ... Disaster Recovery ... 69719. Auditing ... 701 19.1 ... Die Ereignisanzeige ... 701 19.2 ... Logs zentral sammeln und archivieren ... 709 19.3 ... Konfiguration der Überwachungsrichtlinien ... 717 19.4 ... DNS-Logging ... 72520. Reporting und Erkennen von Angriffen ... 731 20.1 ... Azure ATP und ATA ... 731 20.2 ... PowerShell-Reporting ... 736 20.3 ... Desired State Configuration ... 749 Index ... 755