NT SYSTEMS
NETWORK TECHNOLOGY SYSTEMS
PROFESSIONELLE SCHULUNG - WINDOWS SERVER - ACTIVE DIRECTORY - EXCHANGE - SYSTEM CENTER - SCCM - SCVMM - SCOM - FAILOVER CLUSTER - PKI - KERBEROS - APP-V - HYPER-V - RDS - vSPHERE
Home
Intensivkurse

PowerServer I: Windows Server 2008 R2 & WDS Windows 7
PowerServer II: Server Security & Advanced Administration
Group Policy Administration

Windows 7 Deployment

Public Key Infrastructure (PKI)
Kerberos V5

Active Directory 2008 R2
Advanced ADS 2008 R2/2003

Failover Cluster 2008 R2

Remote Desktop Services
2008 R2

VMware vSphere 5.0

Configuration Manager 2012
Virtual Machine Manager 2012
Operations Manager 2012

Exchange Server 2010
Advanced Exchange HA (Exchange 2010)
Exchange Disaster Recovery

IT-Consulting
Aktuelles
Wir über uns
Partner
Unsere Kunden
Trainer - Jobs
Kontakt/Wegweiser
Anmeldung
Intensivkurs KERBEROS Aktualisiert  11.04.2012

Kerberos V5
- Active Directory 2003/2008 R2 -

SCHULUNGSZIEL
Das Authentifizierungsprotokoll in einem Active Directory Forest ist standardmäßig KERBEROS V5. Wenn jedoch Applikationen nicht korrekt konfiguriert sind, wird automatisch das "schwächere" NTLM-Protokoll eingesetzt. Höhere Sicherheit bei der Authentifizierung bekommt man nur mit Kerberos und noch besser in Kombination mit Smart Card, weil kein Password-Hash in der Pre-Authentication Phase über die Leitung zum KDC verschickt wird. Das Thema Kerberos ist hoch komplex und wird daher in diesem Spezialkurs behandelt. Im Kurs lernen Sie die Microsofts Kerberos V5 Implementierung in einem Active Directory 2003/2008 R2 Forest in Details kennen. Neben der Kerberos-Authentifizierung von Windows Clients mit und ohne Smart Card (PKINIT) wird auch Open Source Client am Beispiel von OpenSUSE praktiziert.
Am Beispiel von Benutzer- bzw. Computer-Anmeldung (zunächst ohne Smart Card) in einer Active Directory Domäne analysieren wir die Kommunikation zwischen Client, Resourceserver und Domain Controller (KDC Key Distribution Center) und lernen dabei das Kerberos V5-Protokoll kennen. Das auf Symmetric Key basierte Kerberos Protokoll arbeitet mit diversen Keys um den Austausch der Symmetric Keys über das Netzwerk zu schützen. Session Keys (Short-Term Key) werden zwischen zwei Partnern eingesetzt und ausgetaucht. Sie werden wiederum vom jeweiligen (User, Server, KDC)  Master Key (Long-Term Key) verschlüsselt. Die verschlüselten Session Keys bzw. Tickets: TGT (Ticket Granting Tickets) von Authentication Service (AS) und TGS (Ticket Granting Service Tickets) von Ticket-Granting Service (TGS), bilden so die Grundlage von Kerberos.
Wir studieren die Kerberos-Authentifizierung einer Multi-Domänen-Umgebung mit Root- und Subdomänen (siehe Bild) um die Mehrfachausstellung von TGT zu zeigen und dass diese Authentifizierungswege durch Shortcut-Trust zwischen Account- und Resource-Domäne verkürzen kann. Auch die Gruppenmitgliedschaft und Gruppentypen beeinflussen die Größe des Access Token und somit das PAC Feld (Privilege Attribut Certificate) eines Kerberos TGT.  Die Kerberos Mutual Authentication verlangt, dass Computerkonten bzw. Dienstkonten die sog. Service Principal Name (SPN) registrieren. Virtual Instanzen z.B. vom Failover Cluster müssen wegen der Mutual Authentication "virtuelle Computerkonten" in AD besitzen um u.a. SPN registrieren zu können. Die korrekte Implementierung und Anwendung von Kerberos wird von verschiedenen Faktoren beeinflusst, wie beispielsweise DNS, Ticketlaufzeiten, SPNs, Delegierung, Impersonation etc. Nur wenn alle betroffenen Komponenten einwandfrei in einander greifen ist eine Authentifizierung über das Kerberosprotokoll sicher gestellt. Eine "kerberos-fähige" Anwendung wie z.B. SharePoint 2007 arbeitet standardmäßig nur mit NTLM, wenn diese nicht extra für die Kerberos Authentifizierung korrekt konfiguriert wird.
Kerberos Tickets können delegiert werden. Durch sog. "Constrained Delegation" kann der Delegierungszweck (z.B. nur für CIFS) fein ausgewählt werden. Neben Constrained Delegation gehört die sog. Protocol Transition zu den Kerberos Extension für "kerberized" Anwendungen, die wir im Kurs auch kennenlernen.
Das Auditing von Domänen- und Netzwerkanmeldungen liefert Ereignisse zu Kerberos- und NTLM-Authentifizierung, die wir analysieren lernen. Dadurch können Ursachen bei Fehlanmeldungen und "Zwang-NTLM-Anmeldungen ermittelt werden. NTLM-Blocking Richtlinien können bei 2008 R2 Servern aktiviert werden um "undichte" Anwendungen, die statt Kerberos nur NTLM-Authentifierung nutzen, zu lokalisieren.
Ziel des Kurses ist, dass Teilnehmer ein solides Wissen über Kerberos V5 in einer Active Directory Umgebung bekommen und auch in die Praxis umsetzen können, um die Gesamtsicherheit von Active Directory und Anwendungen zu erhöhen. Praktische Übungen und Demo runden dieses Wissen ab:
- Analysieren, warum eine Anwendung nicht Kerberos, sondern das NTLM-Protokoll nimmt?
- Konfigurieren von Constrained Delegation für ein Double-Hop Szenario am Beispiel APP-V und NLB sowie SQL-Zugriff.
- Konfigurieren von SharePoint 2007 für Kerberos-Authentifizierung für eine Webseite.
- Analysieren der Benutzer-/Computer-Authentifizierung an einem 2008 R2 RODC (Read-Only-Domain Controller) --> Optional.
- Analysieren von Encryption Type unterschiedlicher Kerberos Clients (XP, VISTA, Windows 7 etc...).
- Konfigurieren eines OpenSUSE Client als Kerberos V5 und SMB-Client für die Aufnahme in AD.
- Weitere Übungen.
Dieser Kurs wird durch die Kurse PKI2008-R2, ADS2008-R2, AdvADS sowie PowerServer II ergänzt.

Kerberos V5
Cerberus
Kerberos Authentifizierung am RODC
Kerberos Authentifizierung am 2008 R2 RODC
ZIELGRUPPE
Enterprise und Domain Administratoren, IT-Sicherheitsbeauftragte, Security Auditoren und Controlling bzw. IT-Revisoren.
KOMPLEXITÄTSGRAD  
Hohe Komplexität (Stufe 5 von 5).
VORAUSSETZUNG
Kenntnisse in Windows und Netzwerk  Security.
Erfahrung mit Active Direcrtory.
TEILNEHMERURTEIL
Sie können sich durch Teilnehmerurteile von unserer hohen Qualität überzeugen.
ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein wertvolles Zertifikat von NT Systems.
DAUER - GEBÜHR - BUCHUNG
 Dauer: 3 Tage
Böblingen Vor-Ort-Schulung
22.02. - 24.02.2012
04.06. - 06.06.2012
28.08. - 30.08.2012
29.10. - 31.10.2012		 Wegen der komplexen Hardwareausstattung und Vorbereitung wird dieser Kurs nur bei uns angeboten.

Mindestteilnehmerzahl: 3
 Preis: 2.250,- €  zzgl. Mwst.   inkl. Mittagessen (10,- € /Tag)
Schulungstermine / Schulungsanmeldung  - Trainingsumgebung
INHALT
  • 1. Block: Windows Authentication - Ein Überblick
    • Interaktive und Netzwerkanmeldung
    • Winlogon, LogonUI und Credential Providers
    • Die SSP/SSPI-Architektur (SSP Interface), Kerberos SSP sowie Negotiate SSP (Security Service Provider).
    • Die Authentication Packages
    Credential Providers - VISTA, Windows 7, 2008 R2
    Credential Providers - VISTA, Windows 7, 2008 R2
  • 2. Block: Kerberos V5 Einführung
    • Grundlagen von Kerberos V5
    • Authentifizierung (AS) und Autorisierung (TGS) mit Kerberos
    • Die Physische Struktur von Kerberos
    • Symmetric Session Key und Master Keys.
    • Authenticator und PAC-Feld
    • Limitierung des Accesstoken durch Gruppenmitgliedschaften
    Kerberos-Preauthentication PADATA
    Kerberos-Preauthentication PADATA
  • 3. Block: DC-Locator und Kerberos
    • Das Auffinden des nächsten Domaincontrollers (DC-Locator)
    • Kerberosframes beim Locatorprozess
    • Kerberos-SRV-Einträge
    • Gewichtung und Priorität zur Redundanz und Lastverteilung der AS und KDCs
    • Sitecoverage mit Kerberos
    Ermittlung des nächsten DC (KDC) - DC-Locator Prozess
    Ermittlung des nächsten DC (KDC) - DC-Locator Prozess
    Kerberos TGTs im Forest und Trusted Forest - Shortcut Trust
    Kerberos TGTs im Forest und Trusted Forest - Shortcut Trust
    TGT (Granting.-Ticket) und TGS (Service Ticket) mit Session Keys und Master Keys
  • 4. Block: Kerberos Internals
    • Kerberos Designmerkmale
    • Session Keys (Short-Term), Master Keys (Long-Term)
    • Das Konto Krbtgt
    • Encryptiontypes von Kerberos
    • Preauthentication: KRB_AS_REQ und KRB_AS_REP im Detail betrachtet
    • TGS: KRB_TGS_REQ und KRB_TGS_REP - Messagecontent
    • Delegierungsmodelle durch Proxy- und Forward-Tickets (constrained delegation)
    • Gruppenmitgliedschaften und die Auswirkung auf das PAC-Feld
    • Mutual authentication und SPNs.
    KDCOptions (Flags)
    KDC Options (Flags)
    KRB_TGS_REQ (supported Encryption Types) von Windows 7 / 2008 R2
    KRB_TGS_REQ (supported Encryption Types) von Windows 7 / 2008 R2
    Konfigurieren von "supportedencryptiontypes"
    Konfigurieren von "supported encryptiontypes"
  • 5. Block: Kerberos Logging und Auditing
    • Kerberos-Logging
    • Auditing unter Server 2008 R2 - Category und Subcategories
    • Advanced Audit Policy Configuration (AAPC)
    • Audit Logon Events vs. Audit Account Logon Events
    • Audit Kerberos Authentication Service
    • 2008 R2 NTLM-Blocking Richtlinien
    • Kerberos Failure Codes
    • Auswerten der Events mit PowerShell V2
    Kerberos Auditing
    Kerberos Auditing
    Kerberos Error --> Encryption Type not supported
    Kerberos Error --> Encryption Type not supported
  • 6. Block: Smart Card Anmeldung
    • Logon mit Smart Card Credential Provider
    • PKINIT (Public Key for Initial Authentication)
    • Auswerten der Logon-Events einer Smart Card Anmeldung
    Cracken von Pre-Authentication Data (PaData)
    Cracken von Pre-Authentication Data (PaData)
  • 7. Block: SSO für Anwendungen: Office SharePoint (One-Hop) - APP-V (Double-Hop)
    • Einrichten SSO mit Kerberos anstelle NTLM für Office SharePoint Server - One-Hop
    • S4U2Self (Protocol Transition) und S4U2Proxy (Constrained Delegation)
    • Einrichten Kerberos Single-Sign-On in einem Double-Hop Szenario (APP-V NLB-Front-End mit SQL-Zugriff)
    Kerberos Authentication
    Kerberos Authentication
    SharePoint - SPN für Application Pool Account
    SharePoint - SPN für Application Pool Account
    Kerberos TGS Ticket für den Zugriff auf das MOSS-Portal
    Kerberos TGS Ticket für den Zugriff auf das MOSS-Portal
    Single-Sign-On in einem Double-Hop Szenario - APP-V mit NLB Front-End und SQL Back-End
    Single-Sign-On in einem Double-Hop Szenario - APP-V mit NLB Front-End und SQL Back-End
  • 8. Block: Anbinden von OpenSuSE11.2
    • Linux und Kerberos Authentifizierung
    • PAM-Module / pam.d
    • krb5.conf
    • ktpass.exe und keytab-Files
    • ktutil -> rkt -> l
    • Installation und Konfiguration von Apache2 Webservices
    • SSO mit ADS-Konten auf die Apache2-Website (Internetexplorer und Firefox)
    krb5.conf
    krb5.conf
    Join Kerberos Realm
    Join Kerberos Realm
    Erzeugen der keytab durch ktpass.exe
    Erzeugen der keytab durch ktpass.exe
    Überprüfen der keytab auf der Linux-Seite
    Überprüfen der keytab auf der Linux-Seite
Grossbild Grossbild
Kerberos Live Jeder hat seine komplexe Umgebung mit mehreren Domänen
- Vertrauen Sie unserer Kompetenz -
[ Home | Intensivkurse | IT-Consulting | Aktuelles | Wir über uns | Partner | Unsere Kunden | Kontakt/Wegweiser | Hotels/Allgemeines | Termine/Anmeldung ] Impressum ]
© 1994-2012 NT SYSTEMS, Dipl.-Ing. T. Pham, Wilhelmstraße 33, D - 71034 Böblingen
    Tel  +49 (0) 7031 23 09 32  -  Fax  +49 (0) 7031 2342 10    www.ntsystems.de