1 Sichere Windows-Infrastrukturen

21

1.1 Warum Sicherheitsmaßnahmen?

21

1.2 Wer hinterlässt wo Spuren?

22

1.3 Was sollten Sie von den Vorschlägen in diesem Buch umsetzen?

23

2 Angriffsmethoden

25

2.1 Geänderte Angriffsziele oder »Identity is the new perimeter« und »Assume the breach«

25

2.2 Das AIC-Modell

26

2.3 Angriff und Verteidigung

28

2.3.1 Phishing-Attacken

28

2.3.2 Ransomware

32

2.3.3 Kennwörter

34

2.3.4 Angriffe auf das Netzwerk

35

2.3.5 Pass the Hash und Pass the Ticket

37

2.3.6 Angriffe auf Cloud-Dienste

38

2.4 Offline-Angriffe auf das Active Directory

39

2.5 Das Ausnutzen sonstiger Schwachstellen

40

3 Angriffswerkzeuge

41

3.1 Testumgebung

41

3.2 Mimikatz

43

3.2.1 Das Mimikatz-Modul »sekurlsa«

45

3.2.2 Mimikatz und Kerberos

50

3.2.3 Ein Golden Ticket mit Mimikatz erzeugen

51

3.2.4 Silver Tickets und Trust-Tickets

56

3.2.5 Crypto-Modul

57

3.3 DSInternals

58

3.4 PowerSploit

62

3.5 BloodHound

64

3.6 Deathstar

64

3.7 Hashcat und Cain & Abel

64

3.8 Erhöhen der Rechte ohne den Einsatz von Zusatzsoftware

66

3.9 Kali Linux

69

4 Authentifizierungsprotokolle

71

4.1 Domänenauthentifizierungsprotokolle

71

4.1.1 LanManager (LM)

72

4.1.2 NTLM

73

4.1.3 Kerberos

74

4.1.4 Service Principal Names (SPN)

81

4.1.5 Kerberos-Delegierung

85

4.1.6 Kerberos-Richtlinien

87

4.1.7 Kerberos und Vertrauensstellungen

89

4.1.8 Ansprüche (Claims) und Armoring

91

4.1.9 Sicherheitsrichtlinien

93

4.2 Remotezugriffsprotokolle

94

4.2.1 MS-CHAP

94

4.2.2 Password Authentication Protocol (PAP)

95

4.2.3 Extensible Authentication Protocol (EAP)

95

4.3 Webzugriffsprotokolle

95

5 Ein Namenskonzept planen und umsetzen

97

5.1 Planung

97

5.1.1 Domänennamen

98

5.2 Umsetzung

99

5.2.1 Objekte des Active Directory

99

5.2.2 Hinzufügen von UPN-Suffixen und Aktualisieren der Benutzer

120

6 Das Tier-Modell

125

6.1 Grundlagen eines Tier-Modells

125

6.2 Das Tier-Modell gemäß den Empfehlungen Microsofts

128

6.3 Erweitertes Tier-Modell

131

6.3.1 Rollen- und Rechtematrix

133

6.3.2 Berechtigungen delegieren

137

6.3.3 Ein Skript für das Sammeln der Dienstkonten im Active Directory

151

6.3.4 Ein Skript für das Sammeln der administrativen Konten nach Tier-Level im Active Directory

152

6.3.5 GPOs für das Erzwingen der Anmeldebeschränkung an den Clients und Servern

154

6.3.6 Authentifizierungsrichtliniensilos und deren Richtlinien (Authentication Policies and Silos)

156

6.3.7 Zentrale Services und administrative Berechtigungen mit Sicherheitsgruppen verwalten

163

7 Das Least-Privilege-Prinzip

165

7.1 Allgemeine Punkte zur Vorbereitung des Least-Privilege-Prinzips

166

7.1.1 Notwendige Sicherheitsgruppen für die Umsetzung des Least-Privilege-Prinzips

166

7.2 Werkzeuge für das Ermitteln der Zugriffsrechte

170

7.2.1 ProcMon

170

7.2.2 Process Explorer

173

7.3 Die Umsetzung des Least-Privilege-Prinzips

178

7.3.1 Sicherung der lokalen Berechtigungen auf den Servern und Arbeitsplatzcomputern

178

7.3.2 Sichern von lokal privilegierten AD-Konten

179

7.3.3 Administrationskonten mit RID-500

179

7.3.4 Gruppenrichtlinien zum Einschränken der Berechtigungen auf Domänencontrollern, Servern und Clients

182

7.3.5 Administrative Kennungen im AD sichern

185

7.3.6 Eine Smartcard für die interaktive Anmeldung verwenden

191

7.3.7 SmartCard Authentication Mechanism Assurance

202

7.3.8 Dienstkonten für Anwendungen nutzen

204

7.3.9 Den Besitz aller OUs der Active Directory-Umgebung übernehmen

208

7.3.10 Delegation der Rechte für die Verwaltung der Organisationseinheiten an einem Standort

209

7.4 Sicherheitsgruppen im Active Directory für die lokalen und Rollenadministratoren

213

7.4.1 Ein Gruppenrichtlinienobjekt für das automatische Zuweisen der administrativen Berechtigungen für alle Serverobjekte

217

7.5 Weitere Aspekte nach der Umsetzung

217

7.5.1 Umgang und Aufbewahrung der Datensicherung

218

7.5.2 Ersetzen der verwendeten Dienstkonten durch MSAs bzw. gMSAs

218

8 Härten von Benutzer- und Dienstkonten

225

8.1 Tipps für die Kennworterstellung bei Benutzerkonten

225

8.2 Kennworteinstellungen in einer GPO für die normalen Benutzerkennungen

226

8.3 Kennworteinstellungsobjekte (PSOs) für administrative Benutzerkonten

228

8.4 Kennworteinstellungsobjekte für Dienstkonten

229

8.5 Multi-Faktor-Authentifizierung (MFA)

231

8.5.1 Windows Hello

231

8.5.2 Windows Hello for Business

232

8.5.3 Azure MFA

233

8.6 GPO für Benutzerkonten

236

8.7 Berechtigungen der Dienstkonten

238

8.8 Anmeldeberechtigungen der Dienstkonten

239

8.8.1 Interaktive Anmeldeberechtigungen über GPOs

240

8.8.2 Notwendige Berechtigungen der Dienstkonten für die Nutzung geplanter Aufgaben

241

9 Just-in-Time- und Just-Enough-Administration

243

9.1 Just in Time Administration

243

9.1.1 Voraussetzungen und Einrichtung

244

9.1.2 Just in Time Administration verwenden

249

9.1.3 Rechte zum Ändern der Mitglieder einer Gruppe delegieren

253

9.2 Just Enough Administration (JEA)

259

9.2.1 Voraussetzungen

259

9.2.2 Einsatzszenarien und Konfiguration

260

10 Planung und Konfiguration der Verwaltungssysteme (PAWs)

285

10.1 Wo sollten die Verwaltungssysteme (PAWs) eingesetzt werden?

286

10.1.1 Tier-Level 0 (Domainadministration)

286

10.1.2 Tier-Level 1 (zugewiesene Rechte auf den DCs am Standort)

287

10.1.3 Tier-Level 2 (Serversysteme und Serveranwendungen)

287

10.1.4 Tier-Level 3 (Administration der normalen Arbeitsplatzcomputer)

288

10.2 Dokumentation der ausgebrachten Verwaltungssysteme

289

10.3 Wie werden die Verwaltungssysteme bereitgestellt?

289

10.4 Zugriff auf die Verwaltungssysteme

290

10.4.1 Restricted Adminmode (eingeschränkter Admin-Modus)

290

10.4.2 Windows Defender Remote Credential Guard

292

10.5 Design der Verwaltungssysteme

294

10.6 Anbindung der Verwaltungssysteme

298

10.7 Bereitstellung von RemoteApps über eine Terminalserver-Farm im Tier-Level 0

301

10.7.1 Bereitstellung einer RemoteApp in einer Terminalserver-Umgebung

301

10.8 Zentralisierte Logs der Verwaltungssysteme

310

10.9 Empfehlung zur Verwendung von Verwaltungssystemen

311

11 Härten der Arbeitsplatzcomputer

313

11.1 Local Administrator Password Solution (LAPS)

313

11.1.1 Schemaerweiterung im Active Directory um die benötigten Attribute

314

11.1.2 Empfohlene Einstellungen in der Gruppenrichtlinie für LAPS

317

11.1.3 Den Computerobjekten die notwendigen Rechte im Active Directory zuweisen

321

11.1.4 Einzelnen Kennungen oder Sicherheitsgruppen lesende Rechte auf die LAPS-Attribute zuweisen

321

11.1.5 Installation der LAPS CSE (Client Side Extension)

322

11.1.6 Ablauf und Funktionsweise der LAPS-CSE

323

11.1.7 Installation der LAPS-GUI auf einem Verwaltungsserver oder einer PAW

324

11.1.8 Verwaltung von LAPS mithilfe der PowerShell

325

11.1.9 Neues PowerShell Modul für LAPS

325

11.1.10 Zukünftige Verschlüsselung der LAPS-Kennwörter im Active Directory

326

11.1.11 Das Zurücksetzen des LAPS-Kennworts bei Neuinstallation und die Wiederherstellung eines Computersystems

326

11.1.12 LAPS-Passwörter exportieren

327

11.1.13 Unsere Empfehlungen für den Einsatz von LAPS

329

11.2 BitLocker

329

11.2.1 Prüfung, ob ein TPM auf dem System vorhanden ist

330

11.2.2 TPM innerhalb einer virtuellen Maschine verfügbar machen

332

11.2.3 BitLocker-Konfiguration per GPO mit einem TPM im System

332

11.2.4 BitLocker für die Systempartition im Dateiexplorer aktivieren

334

11.2.5 BitLocker-Konfiguration per GPO ohne ein TPM im System

336

11.2.6 BitLocker auf Windows Servern verfügbar machen

336

11.2.7 Den BitLocker-Verschlüsselungsschutz anhalten

337

11.2.8 Den BitLocker-Wiederherstellungsschlüssel aus dem Active Directory auslesen

338

11.2.9 BitLocker mit der PowerShell oder der Eingabeaufforderung verwalten

342

11.3 Mitglieder in den lokalen administrativen Sicherheitsgruppen verwalten

343

11.4 Weitere Einstellungen: Startmenü und vorinstallierte Apps anpassen, OneDrive deinstallieren und Cortana deaktivieren

344

11.4.1 Das Startmenü anpassen

344

11.4.2 Vorinstallierte Anwendungen entfernen

345

11.4.3 OneDrive deinstallieren

347

11.4.4 Cortana per GPO deaktivieren

348

11.4.5 Cortana per Registry deaktivieren

349

11.4.6 Edge über eine Gruppenrichtlinie konfigurieren

349

11.5 Härtung durch Gruppenrichtlinien

352

11.5.1 Gruppenrichtlinien aus dem Microsoft Security Compliance Toolkit

352

11.5.2 Unsere Empfehlungen für domänenweite Gruppenrichtlinien

354

11.5.3 Unsere Empfehlungen für Gruppenrichtlinien der Computerobjekte

364

11.5.4 Software Restriction Policies (Richtlinie für Softwareeinschränkungen)

368

11.5.5 AppLocker

369

12 Härten der administrativen Systeme

383

12.1 Gruppenrichtlinieneinstellungen für alle PAWs

383

12.1.1 Die GPO »0-CBP-AdminClient-Administrative Vorlagen«

383

12.1.2 Die GPO »0-CBP-AdminClient-Benutzerrechte«

387

12.1.3 Die GPO »0-CBP-AdminClient-Sicherheitsoptionen«

388

12.2 Administrative Berechtigungen auf den administrativen Systemen

389

12.2.1 Verwalten der Sicherheitsgruppen

390

12.2.2 Lokale Sicherheitsrichtlinie

391

12.3 Verwaltung der administrativen Systeme

392

12.3.1 Das Clean-Source-Prinzip

392

12.4 Firewall-Einstellungen

395

12.5 IPSec-Kommunikation

397

12.5.1 IPSec-Kommunikation auf Basis eines Pre-shared Keys

398

12.5.2 IPSec-Kommunikation auf Basis eines Zertifikats, das von einer Unternehmens-CA ausgestellt wurde

406

12.5.3 Hinweise zur Verwendung einer IPSec-Verbindung zwischen Domänencontrollern

408

12.5.4 Erweitertes Auditing mithilfe von Auditpol.exe

409

12.6 AppLocker-Einstellungen auf den administrativen Systemen

410

12.7 Windows Defender Credential Guard

412

13 Update-Management

417

13.1 Installation der Updates auf Standalone-Clients oder in kleinen Unternehmen ohne Active Directory

417

13.1.1 »Windows Update-Einstellungen« über die integrierte GUI

418

13.1.2 »Windows Update-Einstellungen« über eine Gruppenrichtlinie

419

13.2 Updates mit dem WSUS-Server verwalten

421

13.2.1 Installation der Rolle »WSUS-Server«

421

13.2.2 Konfiguration der Rolle »WSUS-Server«

424

13.2.3 Die WSUS-Datenbank mit dem SQL Server Management Studio optimieren

435

13.2.4 Aufbau einer WSUS-Struktur in einer großen Infrastruktur

438

13.2.5 WSUS-Server durch Nutzung von Zertifikaten absichern

440

13.2.6 Verwaltung des WSUS-Servers mit der PowerShell und wsusutil.exe

443

13.2.7 Troubleshooting

446

13.3 Application Lifecycle Management

451

13.3.1 Support-Phasen in Windows 7

452

13.3.2 Support-Phasen in Windows 10 und Windows 11

455

13.3.3 Support-Phasen in Windows Server 2019 und Windows Server 2022

457

14 Der administrative Forest

459

14.1 Was ist ein Admin-Forest?

459

14.2 Einrichten eines Admin-Forests

462

14.2.1 DNS-Namensauflösung

463

14.2.2 Vertrauensstellung

470

14.2.3 Berechtigungen

486

14.3 Privilege Access Management-Trust (PAM-Trust)

489

14.3.1 ShadowPrincipals vorbereiten

490

14.3.2 Verwendung der ShadowPrincipals

497

14.4 Verwaltung und Troubleshooting

501

14.4.1 NRPT (Name Resolution Policy Table)

501

14.4.2 Break-Glass-Konten

503

14.4.3 Probleme mit der Authentifizierungsfirewall

503

15 Härtung des Active Directory

507

15.1 Schützenswerte Objekte

507

15.1.1 Built-in-Gruppen

507

15.1.2 AdminCount

516

15.2 Das Active Directory-Schema und die Rechte im Schema

522

15.3 Kerberos-Reset (krbtgt) und Kerberoasting

524

15.4 Sinnvolles OU-Design für die AD-Umgebung

528

16 Netzwerkzugänge absichern

531

16.1 VPN-Zugang

532

16.1.1 VPN-Protokolle

553

16.1.2 Konfiguration des VPN-Servers

557

16.1.3 Konfiguration der Clientverbindungen

558

16.1.4 Troubleshooting

561

16.2 DirectAccess einrichten

563

16.2.1 Bereitstellen der Infrastruktur

565

16.2.2 Tunnelprotokolle für DirectAccess

568

16.3 NAT einrichten

568

16.4 Der Netzwerkrichtlinienserver

572

16.4.1 Einrichtung und Protokolle

574

16.4.2 RADIUS-Proxy-Server

581

16.4.3 Das Regelwerk für den Zugriff einrichten

583

16.4.4 Protokollierung und Überwachung

587

16.5 Den Netzwerkzugriff absichern

591

16.5.1 Konfiguration der Clients

592

16.5.2 Konfiguration der Switches

596

16.5.3 Konfiguration des NPS

600

16.5.4 Protokollierung und Troubleshooting

606

16.5.5 Allgemeine Überlegungen zur Verwendung der Authentifizierungsmethoden

609

16.6 Absichern des Zugriffs auf Netzwerkgeräte über das RADIUS-Protokoll

610

16.6.1 RADIUS-Server für die Authentifizierung konfigurieren

611

16.6.2 Definition des RADIUS-Clients

613

16.6.3 Sicherheitsgruppen erstellen

617

17 PKI und Zertifizierungsstellen

625

17.1 Was ist eine PKI?

625

17.1.1 Zertifikate

626

17.1.2 Verschlüsselung und Signatur

627

17.2 Aufbau einer CA-Infrastruktur

633

17.2.1 Installation der Rolle

641

17.2.2 Alleinstehende »Offline-«Root-CA

646

17.2.3 Untergeordnete Zertifizierungsstelle als »Online«-Sub-CA

663

17.3 Zertifikate verteilen und verwenden

670

17.3.1 Verteilen von Zertifikaten an Clients

671

17.3.2 Remotedesktopdienste

672

17.3.3 Webserver

675

17.3.4 Clients

679

17.3.5 Codesignatur

679

17.4 Überwachung und Troubleshooting der Zertifikatdienste

684

17.5 Bevorstehende Änderungen und aktuelle Herausforderungen mit einer Microsoft-Zertifizierungsstelle

689

17.5.1 Besserer Schutz für Clientauthentifizierungszertifikate

689

17.5.2 Schutz vor PetitPotam

691

18 Sicherer Betrieb

693

18.1 AD-Papierkorb

693

18.2 Umleiten der Standard-OUs für Computer und Benutzer

699

18.3 Mögliche Probleme beim Prestaging

700

18.4 Sichere Datensicherung

701

18.4.1 Das iSCSI-Target konfigurieren

702

18.4.2 Das iSCSI-Laufwerk einbinden

704

18.4.3 BitLocker einrichten

707

18.4.4 Die Datensicherung einrichten

712

18.4.5 Zugriff auf die gesicherten Daten

713

18.5 Die Sicherheitsbezeichner (SIDs) dokumentieren

715

19 Auditing

717

19.1 Die Ereignisanzeige

717

19.1.1 Eventlog und PowerShell

722

19.1.2 Eigene Quellen registrieren

723

19.1.3 Das Eventlog über das Windows Admin Center nutzen

724

19.2 Logs zentral sammeln und archivieren

725

19.2.1 Die Logs sichern

725

19.2.2 Eventlog-Forwarding

726

19.3 Konfiguration der Überwachungsrichtlinien

735

19.3.1 Objekte löschen

735

19.3.2 Gruppen manipulieren

739

19.3.3 Konten sperren

740

19.4 DNS-Logging

744

20 Reporting und Erkennen von Angriffen

749

20.1 Azure ATP und ATA

749

20.1.1 Azure Advanced Threat Protection (Azure ATP)

749

20.1.2 Advanced Threat Analytics (ATA)

751

20.2 PowerShell-Reporting

754

20.2.1 Den Status der Systeme prüfen

755

20.2.2 Die Einhaltung der Namenskonventionen prüfen

765

20.3 Desired State Configuration

767

21 Disaster Recovery

773

21.1 Disaster Recovery planen

773

21.2 Forest Recovery

777

21.3 Die Gruppenrichtlinien-Infrastruktur wiederherstellen

778

21.4 Snapshots verwenden

780

21.5 Das DC-Computerpasswort ist »out-of-sync«

782

22 Praktische Implementierung der Sicherheitsmaßnahmen

785

22.1 Bestandsanalyse

785

22.2 Welche Maßnahmen sind für mich geeignet bzw. wie aufwendig ist die Umsetzung?

790

22.2.1 Rollen- und Rechtekonzept

790

22.2.2 Namenskonzept

791

22.2.3 Tier-Modell

791

22.2.4 PAW

793

22.2.5 DC-Härtung

794

22.2.6 Systemhärtung

794

22.2.7 Kennwortrichtlinie (Admins)

795

22.2.8 Kennwortrichtlinie (Dienstkonten)

795

22.2.9 Netzwerkverschlüsselung (IPSec)

796

22.2.10 802.1x

797

22.2.11 Least Privilege

797

22.2.12 Auditing

798

22.2.13 Eventlog-Forwarding

798

22.2.14 AD ACL Scanner (Compliance)

799

22.2.15 Compliance Reporting

799

22.2.16 Admin Forest

799

22.2.17 Clean Source

799

22.2.18 Datensicherung

800

22.3 Wie fange ich an?

800