Assume the breach! Heutzutage ist nicht mehr die Frage, ob Ihre Infrastruktur Ziel eines Angriffs wird, sondern ob Sie darauf gewappnet sind. Microsoft gibt Ihnen dazu einen Reihe Werkzeuge an die Hand, und dieser Leitfaden zeigt Ihnen, wie Sie sie richtig einsetzen. Mit den richtigen Administrationsmethoden erschweren Sie so den Angriff und sorgen dafür, dass wichtige Daten sicher bleiben und kein Schaden entsteht. Zahlreiche Best Practices und Hinweise aus der Praxis erklären Ihnen, wie Sie Ihre Systeme absichern und sich auf den Ernstfall vorbereiten. Aus dem Inhalt: Angriffsmethoden und WerkzeugeSysteme härten und sichere AdministrationAuthentifizierungsprotokolleLeast-Privilege-Prinzip und Tier-ModellCredential Guard und Remote Credential GuardAdmin Forest und PAM-TrustAdministration: Just in time und Just enoughUpdate-Management mit WSUSPKI und CAAuditing, Monitoring und ReportingDisaster Recovery: Gut vorbereitet für den ErnstfallMigrationsguide: Von der Legacy-Umgebung zur modernen Infrastruktur

       1.1 ... Warum Sicherheitsmaßnahmen? ... 21        1.2 ... Wer hinterlässt wo Spuren? ... 22        1.3 ... Was sollten Sie von den Vorschlägen in diesem Buch umsetzen? ... 23        2.1 ... Geänderte Angriffsziele oder »Identity is the new perimeter« und »Assume the breach« ... 25        2.2 ... Das AIC-Modell ... 26        2.3 ... Angriff und Verteidigung ... 28        2.4 ... Offline-Angriffe auf das Active Directory ... 39        2.5 ... Das Ausnutzen sonstiger Schwachstellen ... 40        3.1 ... Testumgebung ... 41        3.2 ... Mimikatz ... 43        3.3 ... DSInternals ... 58        3.4 ... PowerSploit ... 62        3.5 ... BloodHound ... 64        3.6 ... Deathstar ... 64        3.7 ... Hashcat und Cain & Abel ... 64        3.8 ... Erhöhen der Rechte ohne den Einsatz von Zusatzsoftware ... 66        3.9 ... Kali Linux ... 69        4.1 ... Domänenauthentifizierungsprotokolle ... 71        4.2 ... Remotezugriffsprotokolle ... 94        4.3 ... Webzugriffsprotokolle ... 95        5.1 ... Planung ... 97        5.2 ... Umsetzung ... 99        6.1 ... Grundlagen eines Tier-Modells ... 125        6.2 ... Das Tier-Modell gemäß den Empfehlungen Microsofts ... 128        6.3 ... Erweitertes Tier-Modell ... 131        7.1 ... Allgemeine Punkte zur Vorbereitung des Least-Privilege-Prinzips ... 166        7.2 ... Werkzeuge für das Ermitteln der Zugriffsrechte ... 170        7.3 ... Die Umsetzung des Least-Privilege-Prinzips ... 178        7.4 ... Sicherheitsgruppen im Active Directory für die lokalen und Rollenadministratoren ... 213        7.5 ... Weitere Aspekte nach der Umsetzung ... 217        8.1 ... Tipps für die Kennworterstellung bei Benutzerkonten ... 225        8.2 ... Kennworteinstellungen in einer GPO für die normalen Benutzerkennungen ... 226        8.3 ... Kennworteinstellungsobjekte (PSOs) für administrative Benutzerkonten ... 228        8.4 ... Kennworteinstellungsobjekte für Dienstkonten ... 229        8.5 ... Multi-Faktor-Authentifizierung (MFA) ... 231        8.6 ... GPO für Benutzerkonten ... 236        8.7 ... Berechtigungen der Dienstkonten ... 238        8.8 ... Anmeldeberechtigungen der Dienstkonten ... 239        9.1 ... Just in Time Administration ... 243        9.2 ... Just Enough Administration (JEA) ... 259        10.1 ... Wo sollten die Verwaltungssysteme (PAWs) eingesetzt werden? ... 286        10.2 ... Dokumentation der ausgebrachten Verwaltungssysteme ... 289        10.3 ... Wie werden die Verwaltungssysteme bereitgestellt? ... 289        10.4 ... Zugriff auf die Verwaltungssysteme ... 290        10.5 ... Design der Verwaltungssysteme ... 294        10.6 ... Anbindung der Verwaltungssysteme ... 298        10.7 ... Bereitstellung von RemoteApps über eine Terminalserver-Farm im Tier-Level 0 ... 301        10.8 ... Zentralisierte Logs der Verwaltungssysteme ... 310        10.9 ... Empfehlung zur Verwendung von Verwaltungssystemen ... 311        11.1 ... Local Administrator Password Solution (LAPS) ... 313        11.2 ... BitLocker ... 329        11.3 ... Mitglieder in den lokalen administrativen Sicherheitsgruppen verwalten ... 343        11.4 ... Weitere Einstellungen: Startmenü und vorinstallierte Apps anpassen, OneDrive deinstallieren und Cortana deaktivieren ... 344        11.5 ... Härtung durch Gruppenrichtlinien ... 352        12.1 ... Gruppenrichtlinieneinstellungen für alle PAWs ... 383        12.2 ... Administrative Berechtigungen auf den administrativen Systemen ... 389        12.3 ... Verwaltung der administrativen Systeme ... 392        12.4 ... Firewall-Einstellungen ... 395        12.5 ... IPSec-Kommunikation ... 397        12.6 ... AppLocker-Einstellungen auf den administrativen Systemen ... 410        12.7 ... Windows Defender Credential Guard ... 412        13.1 ... Installation der Updates auf Standalone-Clients oder in kleinen Unternehmen ohne Active Directory ... 417        13.2 ... Updates mit dem WSUS-Server verwalten ... 421        13.3 ... Application Lifecycle Management ... 451        14.1 ... Was ist ein Admin-Forest? ... 459        14.2 ... Einrichten eines Admin-Forests ... 462        14.3 ... Privilege Access Management-Trust (PAM-Trust) ... 489        14.4 ... Verwaltung und Troubleshooting ... 501        15.1 ... Schützenswerte Objekte ... 507        15.2 ... Das Active Directory-Schema und die Rechte im Schema ... 522        15.3 ... Kerberos-Reset (krbtgt) und Kerberoasting ... 524        15.4 ... Sinnvolles OU-Design für die AD-Umgebung ... 528        16.1 ... VPN-Zugang ... 532        16.2 ... DirectAccess einrichten ... 563        16.3 ... NAT einrichten ... 568        16.4 ... Der Netzwerkrichtlinienserver ... 572        16.5 ... Den Netzwerkzugriff absichern ... 591        16.6 ... Absichern des Zugriffs auf Netzwerkgeräte über das RADIUS-Protokoll ... 610        17.1 ... Was ist eine PKI? ... 625        17.2 ... Aufbau einer CA-Infrastruktur ... 633        17.3 ... Zertifikate verteilen und verwenden ... 670        17.4 ... Überwachung und Troubleshooting der Zertifikatdienste ... 684        17.5 ... Bevorstehende Änderungen und aktuelle Herausforderungen mit einer Microsoft-Zertifizierungsstelle ... 689        18.1 ... AD-Papierkorb ... 693        18.2 ... Umleiten der Standard-OUs für Computer und Benutzer ... 699        18.3 ... Mögliche Probleme beim Prestaging ... 700        18.4 ... Sichere Datensicherung ... 701        18.5 ... Die Sicherheitsbezeichner (SIDs) dokumentieren ... 715        19.1 ... Die Ereignisanzeige ... 717        19.2 ... Logs zentral sammeln und archivieren ... 725        19.3 ... Konfiguration der Überwachungsrichtlinien ... 735        19.4 ... DNS-Logging ... 744        20.1 ... Azure ATP und ATA ... 749        20.2 ... PowerShell-Reporting ... 754        20.3 ... Desired State Configuration ... 767        21.1 ... Disaster Recovery planen ... 773        21.2 ... Forest Recovery ... 777        21.3 ... Die Gruppenrichtlinien-Infrastruktur wiederherstellen ... 778        21.4 ... Snapshots verwenden ... 780        21.5 ... Das DC-Computerpasswort ist »out-of-sync« ... 782        22.1 ... Bestandsanalyse ... 785        22.2 ... Welche Maßnahmen sind für mich geeignet bzw. wie aufwendig ist die Umsetzung? ... 790        22.3 ... Wie fange ich an? ... 800