Assume the breach! Heutzutage ist nicht mehr die Frage, ob Ihre Infrastruktur Ziel eines Angriffs wird, sondern ob Sie darauf gewappnet sind. Microsoft gibt Ihnen dazu einen Reihe Werkzeuge an die Hand, und dieser Leitfaden zeigt Ihnen, wie Sie sie richtig einsetzen. Mit den richtigen Administrationsmethoden erschweren Sie so den Angriff und sorgen dafür, dass wichtige Daten sicher bleiben und kein Schaden entsteht. Zahlreiche Best Practices und Hinweise aus der Praxis erklären Ihnen, wie Sie Ihre Systeme absichern und sich auf den Ernstfall vorbereiten.

Patching, Auditing, Reporting und Disaster Recovery

Materialien zum Buch ... 17Geleitwort des Fachgutachters ... 191. Sichere Windows-Infrastrukturen ... 211.1 ... Warum Sicherheitsmaßnahmen? ... 211.2 ... Wer hinterlässt wo Spuren? ... 221.3 ... Was sollten Sie von den Vorschlägen in diesem Buch umsetzen? ... 232. Angriffsmethoden ... 252.1 ... Geänderte Angriffsziele oder 'Identity is the new perimeter' und 'Assume the breach' ... 252.2 ... Das AIC-Modell ... 262.3 ... Angriff und Verteidigung ... 282.4 ... Offline-Angriffe auf das Active Directory ... 392.5 ... Das Ausnutzen sonstiger Schwachstellen ... 403. Angriffswerkzeuge ... 413.1 ... Testumgebung ... 413.2 ... Mimikatz ... 433.3 ... DSInternals ... 583.4 ... PowerSploit ... 623.5 ... BloodHound ... 643.6 ... Deathstar ... 643.7 ... Hashcat und Cain & Abel ... 643.8 ... Erhöhen der Rechte ohne den Einsatz von Zusatzsoftware ... 663.9 ... Kali Linux ... 694. Authentifizierungsprotokolle ... 714.1 ... Domänenauthentifizierungsprotokolle ... 714.2 ... Remotezugriffsprotokolle ... 944.3 ... Webzugriffsprotokolle ... 955. Ein Namenskonzept planen und umsetzen ... 975.1 ... Planung ... 975.2 ... Umsetzung ... 996. Das Tier-Modell ... 1256.1 ... Grundlagen eines Tier-Modells ... 1256.2 ... Das Tier-Modell gemäß den Empfehlungen Microsofts ... 1286.3 ... Erweitertes Tier-Modell ... 1317. Das Least-Privilege-Prinzip ... 1657.1 ... Allgemeine Punkte zur Vorbereitung des Least-Privilege-Prinzips ... 1667.2 ... Werkzeuge für das Ermitteln der Zugriffsrechte ... 1707.3 ... Die Umsetzung des Least-Privilege-Prinzips ... 1787.4 ... Sicherheitsgruppen im Active Directory für die lokalen und Rollenadministratoren ... 2137.5 ... Weitere Aspekte nach der Umsetzung ... 2178. Härten von Benutzer- und Dienstkonten ... 2258.1 ... Tipps für die Kennworterstellung bei Benutzerkonten ... 2258.2 ... Kennworteinstellungen in einer GPO für die normalen Benutzerkennungen ... 2268.3 ... Kennworteinstellungsobjekte (PSOs) für administrative Benutzerkonten ... 2288.4 ... Kennworteinstellungsobjekte für Dienstkonten ... 2298.5 ... Multi-Faktor-Authentifizierung (MFA) ... 2318.6 ... GPO für Benutzerkonten ... 2368.7 ... Berechtigungen der Dienstkonten ... 2388.8 ... Anmeldeberechtigungen der Dienstkonten ... 2399. Just-in-Time- und Just-Enough-Administration ... 2439.1 ... Just in Time Administration ... 2439.2 ... Just Enough Administration (JEA) ... 25910. Planung und Konfiguration der Verwaltungssysteme (PAWs) ... 28510.1 ... Wo sollten die Verwaltungssysteme (PAWs) eingesetzt werden? ... 28610.2 ... Dokumentation der ausgebrachten Verwaltungssysteme ... 28910.3 ... Wie werden die Verwaltungssysteme bereitgestellt? ... 28910.4 ... Zugriff auf die Verwaltungssysteme ... 29010.5 ... Design der Verwaltungssysteme ... 29410.6 ... Anbindung der Verwaltungssysteme ... 29810.7 ... Bereitstellung von RemoteApps über eine Terminalserver-Farm im Tier-Level 0 ... 30110.8 ... Zentralisierte Logs der Verwaltungssysteme ... 31010.9 ... Empfehlung zur Verwendung von Verwaltungssystemen ... 31111. Härten der Arbeitsplatzcomputer ... 31311.1 ... Local Administrator Password Solution (LAPS) ... 31311.2 ... BitLocker ... 32911.3 ... Mitglieder in den lokalen administrativen Sicherheitsgruppen verwalten ... 34311.4 ... Weitere Einstellungen: Startmenü und vorinstallierte Apps anpassen, OneDrive deinstallieren und Cortana deaktivieren ... 34411.5 ... Härtung durch Gruppenrichtlinien ... 35212. Härten der administrativen Systeme ... 38312.1 ... Gruppenrichtlinieneinstellungen für alle PAWs ... 38312.2 ... Administrative Berechtigungen auf den administrativen Systemen ... 38912.3 ... Verwaltung der administrativen Systeme ... 39212.4 ... Firewall-Einstellungen ... 39512.5 ... IPSec-Kommunikation ... 39712.6 ... AppLocker-Einstellungen auf den administrativen Systemen ... 41012.7 ... Windows Defender Credential Guard ... 41213. Update-Management ... 41713.1 ... Installation der Updates auf Standalone-Clients oder in kleinen Unternehmen ohne Active Directory ... 41713.2 ... Updates mit dem WSUS-Server verwalten ... 42113.3 ... Application Lifecycle Management ... 45114. Der administrative Forest ... 45914.1 ... Was ist ein Admin-Forest? ... 45914.2 ... Einrichten eines Admin-Forests ... 46214.3 ... Privilege Access Management-Trust (PAM-Trust) ... 48914.4 ... Verwaltung und Troubleshooting ... 50115. Härtung des Active Directory ... 50715.1 ... Schützenswerte Objekte ... 50715.2 ... Das Active Directory-Schema und die Rechte im Schema ... 52215.3 ... Kerberos-Reset (krbtgt) und Kerberoasting ... 52415.4 ... Sinnvolles OU-Design für die AD-Umgebung ... 52816. Netzwerkzugänge absichern ... 53116.1 ... VPN-Zugang ... 53216.2 ... DirectAccess einrichten ... 56316.3 ... NAT einrichten ... 56816.4 ... Der Netzwerkrichtlinienserver ... 57216.5 ... Den Netzwerkzugriff absichern ... 59116.6 ... Absichern des Zugriffs auf Netzwerkgeräte über das RADIUS-Protokoll ... 61017. PKI und Zertifizierungsstellen ... 62517.1 ... Was ist eine PKI? ... 62517.2 ... Aufbau einer CA-Infrastruktur ... 63317.3 ... Zertifikate verteilen und verwenden ... 67017.4 ... Überwachung und Troubleshooting der Zertifikatdienste ... 68417.5 ... Bevorstehende Änderungen und aktuelle Herausforderungen mit einer Microsoft-Zertifizierungsstelle ... 68918. Sicherer Betrieb ... 69318.1 ... AD-Papierkorb ... 69318.2 ... Umleiten der Standard-OUs für Computer und Benutzer ... 69918.3 ... Mögliche Probleme beim Prestaging ... 70018.4 ... Sichere Datensicherung ... 70118.5 ... Die Sicherheitsbezeichner (SIDs) dokumentieren ... 71519. Auditing ... 71719.1 ... Die Ereignisanzeige ... 71719.2 ... Logs zentral sammeln und archivieren ... 72519.3 ... Konfiguration der Überwachungsrichtlinien ... 73519.4 ... DNS-Logging ... 74420. Reporting und Erkennen von Angriffen ... 74920.1 ... Azure ATP und ATA ... 74920.2 ... PowerShell-Reporting ... 75420.3 ... Desired State Configuration ... 76721. Disaster Recovery ... 77321.1 ... Disaster Recovery planen ... 77321.2 ... Forest Recovery ... 77721.3 ... Die Gruppenrichtlinien-Infrastruktur wiederherstellen ... 77821.4 ... Snapshots verwenden ... 78021.5 ... Das DC-Computerpasswort ist 'out-of-sync' ... 78222. Praktische Implementierung der Sicherheitsmaßnahmen ... 78522.1 ... Bestandsanalyse ... 78522.2 ... Welche Maßnahmen sind für mich geeignet bzw. wie aufwendig ist die Umsetzung? ... 79022.3 ... Wie fange ich an? ... 800Index ... 803