NT SYSTEMS
NETWORK TECHNOLOGY SYSTEMS
PROFESSIONELLE SCHULUNG - WINDOWS SERVER - ACTIVE DIRECTORY - EXCHANGE - SYSTEM CENTER - SCCM - SCVMM - SCOM - FAILOVER CLUSTER - PKI - KERBEROS - APP-V - HYPER-V - RDS - vSPHERE
Home
Intensivkurse

PowerServer I: Windows Server 2008 R2 & WDS Windows 7
PowerServer II: Server Security & Advanced Administration
Group Policy Administration

Windows 7 Deployment

Public Key Infrastructure (PKI)
Kerberos V5

Active Directory 2008 R2
Advanced ADS 2008 R2/2003

Failover Cluster 2008 R2

Remote Desktop Services
2008 R2

VMware vSphere 5.0

Configuration Manager 2012
Virtual Machine Manager 2012
Operations Manager 2012

Exchange Server 2010
Advanced Exchange HA (Exchange 2010)
Exchange Disaster Recovery

IT-Consulting
Aktuelles
Wir über uns
Partner
Unsere Kunden
Trainer - Jobs
Kontakt/Wegweiser
Anmeldung
Intensivkurs PowerServer II Aktualisiert  04.05.2012

Advanced Administration Windows Server 2008 R2
- Security . Firewall . WMI . DCOM . RPC. BitLocker . UAC . WMIC -

SCHULUNGSZIEL
Der Fokus dieses "Advanced" Intensivkurses ist die Sicherheit von Windows Server 2008 R2. Sicherheit ist schon immer eine hochkomplexe Angelegenheit, deren Zusammenhänge wir im Kurs weitgehend zu verstehen versuchen. Ein Zugriff auf eine Ressource verlangt i.d.R. immer eine Authentifizierung, ein Impersonation Level und letztendlich eine Autorisierung durch Berechtigungen. Die Ressourcen eines 2008 R2 Servers sind sehr vielfältig. Securable Objects werden durch Security Descriptor geschützt. WMI-Namespaces sind z.B. auch Ressourcen, die durch die Namespace Security Descriptoren geschützt werden. Der höchste Schutz ist jedoch nur durch Verschlüsselung möglich. Serverdatenpartitionen und insbesondere die Datenbank eines Domaincontrollers (ntds.dit) können mit dem Volumenschutzmechanismus "BitLocker" verschlüsselt werden. BitLocker ist in Kombination mit TPM die sicherste Methode einen unerlaubten "Cold Start" eines Servers bzw. Domaincontrollers zu verhindern. Neben dem Schwerpunkt Security kümmern wir uns auch um das nicht minder wichtige Thema Event Instrumentation und Event Tracing und somit auch um WMI (Windows Management Instrumentation). Informationen über Hardware und Betriebssystem können statisch (CIM-Datenbank) oder dynamisch durch WMI-Provider abgefragt werden. Events und Event Traces werden durch Zustandsänderungen von diversen Event-Providern erzeugt. Beispielsweise schreiben mehrere WMI-Provider die Sicherheitsereignisse in den Security-Log. Überwachungssysteme wie System Center Operation Manager (SCOM) nutzen u.a. WMI-Daten (Namespaces, Provider, Classes) und Events sowie Event Traces um die Funktionalität einer Systemkomponente oder des Gesamtsystems zu überwachen.
Im ersten Block verschaffen wir uns einen Gesamtüberblick über die Authentifizierung und Autorisierung. Dazu gehören die Security Service Provider (SSP) wie Negotiate (SPNEGO) und Kerberos sowie Schannel und NTM. Jede Windows Maschine als Member einer Domäne unterhält einen sog. Secure Channel mit einem Domänencontroller, dessen Aufbau bei dem Domänenbeitritt wir im Kurs untersuchen. Detailliertes Wissen über den Secure Channel ist für jeden Serveradministrator ein MUSS, denn er hat sehr viel mit der Serversicherheit und NETLOGN zu tun. Zugriffe auf Ressourcen benötigen neben der Berechtigung (Autorisierung) auch das entsprechende Impersonate Level, damit ein Prozess-Thread evtl. im Namen des Zugreifers dessen Access Token (Impersonation Token) nutzen kann. Eine Hintertür bietet Windows für alle Anonymous Anmeldungen über die sog. NULL Session (Anonymous Logon Session), die wir auch verstehen müssen um die Serverressourcen (NullSessionShares, NullSessionPipes) gegen anonyme Zugriffe zu schützen.
Im zweiten Block werden die Remote Zugriffe auf die Serverressourcen analysiert, die bei einem "geschützten" Windows 2008 R2 Server mehrere Hürden passieren müssen um auf die unterschiedlichen Ressourcen  gelangen zu können: --> Verbindungssicherheit (IPSec) --> Firewall -->  RPC -->  DCOM-Sicherheit --> WMI-Sicherheit & User Account Control (UAC) --> NTFS & Share Berechtigung.
Die neue Windows Firewall with Advanced Security (WFAS) integriert Firewall mit IPSec und AuthIP. WFAS kann somit Benutzer- bzw. Computer-Authentifizierung per Kerberos vor einem Zugriff durchführen. Wir nutzen diese sog. "Domain Isolierung" um 2008 R2 Server vor "fremden" zu schützen. Zu den zu schützenden Systemressourcen sind die DCOM-Objekten, die ihre eigene Security Descriptoren besitzen und somit eine Autorisierung von RPC-Zugriff verlangen. Der Zugriff auf WMI-Namespaces (Windows Management & Instrumentation) und -Provider sowie -Daten ist dank moderner Techniken wie PowerShell oder WinRM (over HTTP/HTTPS) viel einfacher geworden. Daher müssen Serveradministratoren auch mit diesen Themen vertraut sein. Dazu gehören u.a. die  UAC (User Account Control), die Virtual Store Technik und WIC (Windows Integrity Control). Auch hat sich die NTFS-Berechtigung durch UAC Split-Token geändert, sodass Serveradministratoren sich nicht ohne weiteres alles erlauben dürfen. Windows Server 2008 R2 Services werden von Haus aus durch die neuen Service Hardening Techniken gut geschützt, die wir ziemlich in Details kennenlernen werden.
Im dritten Block sind wir als "Häcker" unterwegs, um diverse Sicherheitslücken zu entdecken. Wenn Smart Card nicht zum Einsatz kommt, ist das Password das "Tor zur Welt". Mit Man-In-The-Middle Attack Tools können u.a. schwache Passwörter schnell gecrackt werden. Die lokale SAM Datenbank und NTDS Active Directory Datenbank liefern aller Passwörter (Hash). Wir lernen auch, dass nicht jede Authentifizierung in einer Domäne mit Kerberos-Tickets arbeitet. Ein "Failback" von Kerberos zu NTLM birgt die Gefahr, dass der NT-Hash verraten wird. Das Computerpassword spielt bei der Sicherheit eine sehr große Rolle, da diverse Verschlüsselungskeys daraus abgeleitet werden. Beispielsweise wird der sog. Master Key (Long-Term Key) für die RC4-HMAC Verschlüsselung der Kerberos Pre-Authentication Daten (Padata) aus dem Computerpassword abgeleitet. Auch der Session Key für den Aufbau des Secure Channels zwischen dem Client (2008 R2 Server) und seinem Anmelde-DC wird aus dem Computerpassword errechnet. Wir lernen wie man das Computerpassword ändern und vor allem wie ein "broken" Secure Channel repariert werden kann.
Im vierten Block werden die bewährten Tools wie Security Configuration & Analysis (SCA) eingesetzt, um die Sicherheit eines Windows Server 2008 und R2 zu analysieren, zu konfigurieren und Sicherheitsrichtlinien zu erzeugen. Mehrere Server können so durch die Sicherheitsrichtlinien gehärtet werden. Mit dem neuen Security Compliance Manager (SCM) können die Sicherheitsvorlagen *.cab zentral verwaltet und konfiguriert werden. Windows Server können mit WinRM/WinRS via HTTPS anstelle von RPC remote, ohne diverse Firewall-Ports öffnen zu müssen, verwaltet werden. BitLocker Drive Encryption und USB-Richtlinien tragen dazu bei, dass besonders Wechselmedien an einem Windows Server geschützt bzw. verschlüsselt werden. Gegen den "Cold Start" Angriff, besonders bei Domain Controller, setzen wir BitLocker im Zusammenspiel mit dem TPM-Chip des Rechners ein. So wird nicht nur die gesamte Betriebssystem-Partition C:\ verschlüsselt, sondern auch die gesamte Bootstrecke gegen Veränderung geschützt. BitLocker Unlock und Recovery Methoden mit Hilfe von Active Directory sorgen dafür, dass BitLocker in einer Enterprise Umgebung zentral verwaltbar ist.
Im fünften Block wird das Auditing und deren Events im Detail behandelt. Neue feinere Audit-Subcategories von Windows Server 2008 R2 erlauben präzises Auditing gegenüber 2003. Nur relevante Sicherheitsereignisse werden erzeugt. Dennoch kann ein effektives Auditing in einer Enterprise Umgebung nur durch ein zusätzliches Überwachungstool wie z.B. SCOM 2007 (System Center Operationsmanager) betrieben werden. Mit PowerShell Get-WinEvent können die Auditing Events mit sog. XPath Filter fein durchsucht und aufgelistet werden. Mit der neuen ETW (Event Tracing for Windows) Technologie können nicht nur Events (*.evtx), sondern auch Trace (*.evtl) von diversen Event-Providern wie. z.B. NT Kernel Logger erzeugt und analysiert werden.
Bemerkung: Wir wollen Ihnen mit diesem erweiterten Intensivkurs nicht nur einen Gesamtüberblick über die komplexe Serversicherheit geben, sondern in der kurzen Zeit auch einige moderne Methoden vermitteln, wie Sie Ihre Windows Server und Domain Controller noch sicherer machen können. Dieser neue Kurs PowerServer II (4 Tage) erweitert den Vorgänger SEC2008 (3 Tage) um weitere Sicherheitsthemen: Impersonation Level, WMI-, DCOM- und RPC-Security sowie Event Tracing for Windows (ETW).
Dieser Kurs baut auf dem Kurs PowerServer I auf. Wir empfehlen als Ergänzung zum Schwerpunkt Security auch die Kurse KERBEROS und PKI2008-R2 zu besuchen.

Windows Start Up - Secure Channel
Windows Start Up - Secure Channel
ZIELGRUPPE
Serveradministratoren, Support-Ingenieure, Domänenadministratoren, IT-Sicherheitsbeauftragte, Security Auditoren bzw. IT-Revisoren.
KOMPLEXITÄTSGRAD  
Ziemlich komplex (Stufe 5 von 5).
VORAUSSETZUNG
Erfahrung mit Windows Server 2003 und Windows Server 2008.
Oder Besuch des Intensivkurses PowerServer I
Kenntnisse in Windows Security ist von Vorteil.
TEILNEHMERURTEIL
Sie können sich durch Teilnehmerurteile von unserer hohen Qualität überzeugen.
ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein wertvolles Zertifikat von NT Systems.
DAUER - GEBÜHR - BUCHUNG
 Dauer: 4 Tage
Böblingen Vor-Ort-Schulung
22.11. - 25.11.2011 (ausgebucht)
20.03. - 23.03.2012 (ausgebucht)
26.06. - 29.06.2012
22.10. - 25.10.2012		 Wegen der komplexen Hardwareausstattung und Vorbereitung wird dieser Kurs nur bei uns angeboten.

Mindestteilnehmerzahl: 3
 Preis: 2.550,- €  zzgl. Mwst.   inkl. Mittagessen (10,- € /Tag)
Schulungstermine / Schulungsanmeldung  - Trainingsumgebung

INHALT
1. Block: Überblick - Windows Server 2008 R2 Security
  • Überblick
    • Neue Sicherheitstechniken gegenüber 2003 und 2008 Server
    • Änderungen in Authentifizierung & Autorisierung
    • Server Core, Read-Only Domain Controller (RODC)
    • AppLocker (2008 R2) bzw. Software Restriction Policy (SRP)
    • BitLocker von Betriebssystem- und Datenpartition
    • Lokale und Remote Security
    • Windows Firewall with Advanced Security inkl. IPSec und AuthIP.
    • RPC-, DCOM- und WMI-Security
    • Windows 7 & Windows Server 2008 R2 - AppLocker
    Windows 7 & Windows Server 2008 R2 - AppLocker
  • Windows Server Sicherheitskomponenten
    • Übersicht über die Windows 2008 R2 SSPs (Security Service Provider)
    • Local und Domänenlogon
    • Negotiate (SPNEGO), NegoEx, Kerberos und NTLM
    • Winlogon, Netlogon, LogonUI und Credential Providers
    • Security Internals, Password, Sam etc..
    • Ermittlung des Computerpasswordalters (NT-Zeit)
    Ermittlung des Computerpassword-Alters (NT-Zeit)
    Uhrzeit der falschen Password-Eingabe
    Uhrzeit der falschen Password-Eingabe
2. Block: Zugriffe auf Ressourcen
  • Windows Firewall with Advanced Security (WFAS)
    • Host-Firewall und AuthIP-Erweiterung mit User Authentication
    • Was ist Network Location Awareness (NLA)?
    • NLA und Firewall Profile: Domain, Privat, Public
    • Inbound & Outbound Rules
    • IPSec Domain Isolierung
    • Übung Domain Isolierung & Firewall
    • Domain Isolierung
    Domain Isolierung
    Authentifizierungsregel - Inbound
    Authentifizierungsregel - Inbound
    Authentifizierungsmethode - Kerberos
    Authentifizierungsmethode - Kerberos
  • RPC und DCOM Security
    • Microsofts RPC  (MSRPC) - RPC Client und Server
    • UUID und End Point Mapper
    • Named Pipes und RPC Endpoints
    • RPC Authentication und Impersonation Level
    • DCOM over RPC
    • DCOM/RPC- Impersonation Level
    • Server Security & Advanced Administration
    Server Security & Advanced Administration
    Firewall Inbound Rules - DCOM-In
  • WMI Security
    • WMI nutzt DCOM
    • WMI Namespace Security
    • WMI Provider und Class
    • Arbeiten mit PowerShell und WMI-Objekte
    • Sicherheit von WMI-Namespaces
    Ermittlung des WMI-Namespace Root\CIMv2 Securitydescriptors
    WMI-Namespace Securitydescriptor
  • User Account Control (UAC) und Virtual Store
    • Administrator ist nicht gleich Administrator
    • Standard Users und Built-In Administrator
    • AAM (Administrator Approval Mode) und OTS (Over-The-Shoulder)
    • Manifest, Run-As-Administrator, Run-As-Different-User
    • UAC-Richtlinien
    • Virtual Store - Redirect File & Registry
    • Übung mit Virtual Store
    • User Account Control und Virtual Store
    User Account Control und Virtual Store
    Manifest Level - highesAvailable
    Manifest Level - highestAvailable
    Virtual Store
    Virtual Store
  • Windows Integrity Control (WIC)
    • WIC und Mandatory Level
    • TrustedInstaller
    • NT Security Descriptor: DACL und SACL
    • SDDL (Security Definition Description Language)
    • Übung Verändern des WIC Levels mit Tools
    • Windows Integrity Control Level - IE7 im Protected Modus
    Windows Integrity Control Level - IE7 im Protected Modus
    Windows Integrity Control - Mandatory Label - NoWriteUp - Medium
    Windows Integrity Control - Mandatory Label - NoWriteUp - Medium
    Windows Integrity Control Level - Trusted Installer
    Windows Integrity Control Level - Trusted Installer Service
  • Server Service Hardening
    • Service Konten: LocalSystem, LocalService, NetworkService
    • Service Control Manager (SC)
    • Service Security – SID & Privilegien
    • Access Token
    • SVCHOST-Prozess und Dienste
    • Service SID Type: Unrestricted und Write-Restricted
    • Service Isolation
    • Einschränken der Zugriffe und Privilegien von Service
    • Übung Härten von Service
    • Privilegien einem 2008 Service zuweisen bzw. einschränken
    Privilegien einem Windows Server 2008 R2 Service zuweisen bzw. einschränken
    Write-Restricted Service
    Write-Restricted Service
    Zugriffberechtigung für Write-Restricted Service
    Zugriffberechtigung für Write-Restricted Service
  • Impersonation Level
    • Access Token und Impersonaltion Token
    • Impersonation Level - Zugriff auf Lokal und Remote Ressourcen
    • Impersonation vs. Delegation
  • NTFS, Alternate Datastream (ADS), Symbolic Link
    • Wie werden NTFS-Dateien als ADS versteckt?
    • Änderungen in NTFS, Laufwerke und Verzeichnisse
    • Symbolic Link
    • Übung ADS und Symbolic Links
    • Versteckte Alternate Data Streams
    Versteckte Alternate Data Streams
3. Block: Sicherheitslücken & Hacking & Cracking
  • Password
    • Wann und wo wird ein Password genutzt?
    • LM Hash und NT Hash
    • Credential Cache
    • Benutzer-und Maschinen-Password
    • Cracken von Passwörtern (Local, Domain)
    • Password-Richtlinien
    • Übung Password-Crack Tools
    • Abfangen von Password Hash
    Abfangen von Password NT-Hash
    Password Crack
    Password Crack
  • Secure Channel & Computerpassword
    • Aufbau des Secure Channels
    • Maschinenpassword und Session Key Negotiation
    • Testen des Secure Channels
    • "Broken" Secure Channel - Reset Secure Channel
    • Ändern des Computerpasswords
    • Secure Channel Test & Reset
    Secure Channel Test & Reset
4. Block: Analysieren & Absichern
  • Security Databse - Security Policy - Security Configuration & Analysis
    • Security Database
    • Security Configuration & Analysis (SCA)
    • Security Compliance Manager (SCM) - Security Templates (SCT) für Windows Server 2008 R2
    • Import & Export von Sicherheitseinstellungen
    • Geeignete OU-Struktur für Windows Server - Gruppenrichtlinien
    • Übung Security Baseline
  • WinRM/WinRS over HTTPS
    • WS-Management und WinRM
    • Remote Administration mit WinRM
    • Einrichten von HTTPS-Listener
    • Übung Arbeiten mit WinRM over HTTPS
    • Remote Administration von 2008 R2 Server mit WinRS / WinRM über HTTPS
    Remote Administration von 2008 R2 Server mit WinRS / WinRM über HTTPS durch Firewall
  • BitLocker OS Drive - USB-Stick
    • BitLocker Technologie mit und ohne TPM
    • TPM Konfigurieren
    • Vorbereiten der Sicherheitsmassnahmen für BitLocker von Betriebssystempartition
    • TPM Owner Password in AD speichern
    • Arbeiten mit Unlock und Recovery Methoden
    • Data Recovery Agent
    • BitLocker für Fixed Drive und BitLocker To Go für USB-Stick
    • BitLocker Übungen mit TPM+PIN und OS Drive
    • Arbeiten mit PowerShell und WMI-Namespace MicrosoftVolumeEncryption
    • BitLocker OS Drive mit TPM
    BitLocker OS Drive mit TPM
5. Block: Monitoring & Auditing
  • Auditing
    • Überwachungsrichtlinien
    • Advanced Audit Policy, Audit Category und Subcategory
    • Auditpol.exe
    • Auswerten der Sicherheitsereignisse mit PowerShell V2
    • Übung Audit
    • Advanced Audit Policy
    Advanced Audit Policy - Subcategory
    Force Subcategory Auditing
    Force Subcategory Auditing
  • Event Instrumentation - Event Tracing
    • Windows Eventing Model (EVT)
    • Classic Event Logs und Crimson-Channel Events
    • Event Tracing for Windows (ETW) und ETW Providers
    • Windows Event Level
    • XML-Event Filter, Event XML-Dump
    • Query Event mit Filter in XPath manuell und mit Get-WinEvent
    • Event-basierte Benachrichtigung
    • Event Log Security
    • Event-Provider des Security Logs
    Suchen von Events mit XPath-Filter
- Vertrauen Sie unserer Kompetenz -
[ Home | Intensivkurse | IT-Consulting | Aktuelles | Wir über uns | Partner | Unsere Kunden | Kontakt/Wegweiser | Hotels/Allgemeines | Termine/Anmeldung ] Impressum ]
© 1994-2012 NT SYSTEMS, Dipl.-Ing. T. Pham, Wilhelmstraße 33, D - 71034 Böblingen
    Tel  +49 (0) 7031 23 09 32  -  Fax  +49 (0) 7031 2342 10    www.ntsystems.de