Windows Security Mit Bordmitteln - IT-Consulting-Grote
Windows Security mitBordmittelnMarc.Grote aka Jens Baier aka Marcimarc
Agenda PKI-InfrastrukturenVerschluesselungActive Directory SicherheitsmodellAuthentication SilosPrivileged Access Management (PAM)Privilegierte Admin WorkstationLAPS (Local Administrator Password Solution)JEA (Just Enough Administration)Bitlocker und Bitlocker To GoSecurity Configuration Wizard (SCW)Applocker / Software Restriction Policies
Agenda Advanced Threat Analytics (ATA) – WindowsDefender Microsoft Baseline Security Analyzer (MBSA) Security Compliance Manager (SCM) Shielded VM in Hyper-V Umgebungen Enhanced Mitigation Experience Toolkit (EMET) Virtual Secure Mode / Credential Guard Firewall Management Logging und Monitoring Organisatorische Massnahmen zur Erhoehungder Sicherheit in IT-Netzwerken
Wer bin ich? Marc Grote Seit 1989 hauptberuflich ITler / Seit 1995 Selbststaendig Microsoft MVP fuer Hyper-V 2014, seit 2015 MVP Cloud andDatacenter (MVP Forefront von 2004-2014) Microsoft MCT/MCSE MC*MCSE Private Cloud, Productivity, Cloud Platform andInfrastructure, Server Infrastructure, ExchangeMCS Server Virtualization Hyper-V / System Center/ AzureMCITP Virtualization Administrator Buchautor und Autor fuer Fachzeitschriften Schwerpunkte:- Windows Server Clustering/Virtualisierung/PKI- System Center SCVMM/SCEP/DPM- Exchange Server seit Version 5.0- von *.Forefront reden wir nicht mehr
PKI Infrastrukturen Certificate AuthorityCertificate TemplatesCertificatesRegistration AuthorityCRL & OCSPHSMCSPRole SeparationCNGKey RecoveryTrusted Root CA Certificates
Verschluesselung EFS Bitlocker SSL/TLS IPSEC/L2TP over IPSEC/PPTP/SSL VPN S/MIME & PGP SMTPS LDAPS SMB/CIFS Native Protokollverschluesselung
Active DirectorySicherheitsmodell Sichere KennwoerterDedizierte Admin AccountsRestricted GroupsManaged Service AccountsAnmelderestrictionenPrivileged User AccountsPort und Service MinimierungUser Berechtigungen und -RechteGroup PoliciesDokumentationUser Account Control (UAC)
Active DirectorySicherheitsmodell DSRM PasswordDedicated Admin WorkstationsDisable Guest – Rename AdministratorPassword PolicyProtected UsersEvent AuditAD SicherheitszonenTimesyncDC SecurityRODCApplocker / Software Restriction PoliciesTrust (Selective Auth., SID-Filtering)
Authentication Policy Silos Legt Zugriff und Authentifizierung fuer restrictedAccounts im Active Directory fest Authentication Policy definiert Kerberos TicketLifetime / Geraeterichtlinien (z. B. NTLM ablehnen)und Authentifizierungs-Anforderungen (ManagedService Account – Managed Group ServiceAccounts) Restricted Users Group Dynamic Access Control (DAC) ist Voraussetzung Erstellung im ADAC
Privileged AccessManagement (PAM) Mitgliedschaft in administrativen Gruppen auf Zeit Multi Faktor Authentifizierung integrierbar AD Forest mit Windows Server 2016 erforderlich AD Trust zum Produktions Forest erforderlich PAM kann separat aktiviert werden Einstellung irreversibel SAM verwaltet Ablaufzeit von Gruppenzugehoerigkeiten Token Kerberos TGT erhaelt Ablaufzeit der kuerzestenGruppenmitgliedschaft Provisionierung mit MIM (Microsoft Identity Manager ehemalsFIM (Forefront Identity Manager) Administrative Gruppen werden im PAM AD Forest gespiegeltmit MIM Shadow Security Principals)
Privilegierte AdminWorkstation Dedizierter Windows Client zur Administration derUmgebung Installation der RSAT Tools Installation weiterer Administrations-Tools Zugangsbeschraenkung des RDP-Zugangs /administrativer Berechtigungen Kein Internet Zugang Aktueller Virenscanner Aktivierte und gepflegte Windows Firewall Betrieb als VM – Ggfs. Restore der VM taeglich
Local Administrator PasswordSolution (LAPS) Aenderung von Administrator Kennwoerternauf lokalen Windows Clients Reaktion auf MS14-025 Kennwoerter werden im AD gespeichert undauf dem Client aktualisiert Administration ueber GPO und GPO ClientSide Extension Download kostenlos erhaeltlich
Just Enough Administration(JEA) Reduzierung der Anzahl Administratoren aufdem System Limitierung der Zugriffsberechtigungen vonBenutzern Download kostenlos erhaeltlich Windows Management Framework 5.0notwendig Installation und Konfiguration via PowerShell Erweiterung der PowerShell um JEA-Extensions
Bitlocker & Bitlocker to Go Bitlocker bei mobilen Geraeten verwenden Bitlocker bei physikalisch unsicheren Servernverwenden Bitlocker in virtuellen Maschinen verwenden Verschluesselung und Einstellungen per GroupPolicy steuern Alle Wechseldatentraeger schuetzen Bitlocker Network Unlock Bitlocker Recovery Key im Active Directoryspeichern
Security Configuration Wizard Rollenbasierte Sicherheit fuer WindowsSysteme Referenzmaschine als Basis fuer Richtlinien Anwendung manuell per XML Konvertierung von SCW-Richtlinien perSCWCMD in Group Poliy Objects Teilweise verfuegbar fuer Microsoft ServerAnwendungen
Advanced Threat Analytics(ATA) Analysen von Anomalien im Verhalten Erkennung von Angriffen Warnungen vor bekannten SicherheitsrisikenQuelle: 09.aspx
Enhanced MitigationExperience Toolkit (EMET) Verhinderung der Ausnutzung vonSicherheitsluecken in Anwendungen Certificate Pinning Certificate Trust Configuration Integration in Windows Sicherheitsfunktionen(DEP, SEHOP, ASR, MandatoryALSR) Bereitstellung per Group Policy / SCCM oderanderen Loesungen Download kostenlos erhaeltlich
Microsoft Baseline SecurityAnalyzer (MBSA) Bestimmung des Sicherheitszustands von WindowsSystemen und Microsoft Anwendungen Empfehlungen zur Behebung vongefundenen Problemen Ueberpruefung von einzelnenSystemen oder Netzwerk-Scans Integration mit WU/MU/WSUS/SCCM Download kostenlos erhaeltlich
Security Compliance Manager(SCM) Konfigurations Baselines fuer WindowsSysteme und Anwendungen Aktuell fuer Windows 10 und Server 2016 SCM erstellt Gruppenrichtlinienobjekte mitBaseline Konfigurationen SCM enthaelt Security Guides Download: ators/cc835245.aspx
Attack Surface Analyzer Erstellt einen Snapshot eines Systems vor undnach der Installation von Anwendungen undvergleicht die Aenderungen aufSicherheitsgefaehrdungen nach MicrosoftBest Practices Download: px?id 24487
Shielded VM in Hyper-VUmgebungen VSM – Virtual Secure Mode Shielded VM – Neue Schaltflaeche in Gen 2 VM Hyper-V Host muss TPM 2.0 und UEFI 2.3.1 verwenden, wennkein dedizierter AD Forest verwendet warden soll Nutzung von Virtual TPM in VM Bitlocker Verschluesselung in VM (Live Mig Traffic) Ausfuehrung der VM nur auf Trusted Hosts Kein Zugriff durch nicht erlaubte Hyper-V / VMMAdministratoren moeglich HGS (Host Guardian Service) verwendet dedizierten ActiveDirectory Forest, wenn kein TPM 2.0 und UEFI 2.3.1 auf denHyper-V Hosts verfuegbar ist HGS fuehrt Host-Validierung und Schluesselverteilung durch
Virtual Secure Mode /Credential Guard Schutz von Anmeldeinfomationen (LSA) mit Hilfe vonVirtualisierung (VSM) Credential Guard kommuniziert ueber die LSA mitLSAIso Windows 10 Enterprise UEFI 2.3.1 / Secure Boot SLAT Intel VT-x / AMD RVI X64 und IOMMUQuelle: 40(v vs.85).aspx TPM 2.0 (1.2) Aktivierung ueber GPO
Firewall ManagementEnterprise FirewallMulti Layered SecurityMehr Stufen DMZ DesignHoneypotReverse Proxy mit ALFClient Firewall (Windows oder Third Party)Intelligente Client Firewall (IPS, IDS, Malware,Behaviour Detection) Client Firewall Management mit Group Policy Auswertung von Firewall Logs
Logging und Monitoring Windows Event LoggingFirewall / Proxy / Router LogsSpecial Log FilesBaseline SecurityIDS/IPS Analyse Log FilesEvent Log Collection ServicesArchivierung von LogfilesRedundante (Read only) Log File SpeicherungThird Party Monitoring Loesungen fuer Server,Anwendungen und Netzwerk
Organisatorische Massnahmenzur Erhoehung der SicherheitAusbildung der Anwender & AdministratorenArbeitsanweisungen & VerhaltensanleitungenZutrittskontrolle & ZugangsschutzAuditsDokumentationSteuerung des Remotezugangs von ExternenSichere Entsorgung von FirmendatenAendern von Standardkennwoerten / Zugaengen /Konfigurationen von Routern, Switchen, Druckern,Appliances und anderen Geraeten Kontrollierte Verbreitung von Firmeninformationen Sichere Aufbewahrung von Backups
TechnischeSicherheitsmassnahmen Zugangskontrolle / ZutrittskontrolleAusgangskontrollePfoertner & MentorAusweiseSicherheitstueren / SicherheitsschleusenWaagen im RZDevice Lock fuer mobile GeraeteSperren von WechseldatentraegernVideoueberwachungWLAN / Port Security
Kontakt Marc Grote E-Mail: marc.grote@it-consulting-grote.deWeb: http://www.it-consulting-grote.deBlog: http://blog.it-consulting-grote.deXING: https://www.xing.com/profile/Marc Grote2Mobile: 4917623380279
Bitlocker & Bitlocker to Go Bitlocker bei mobilen Geraeten verwenden Bitlocker bei physikalisch unsicheren Servern verwenden Bitlocker in virtuellen Maschinen verwenden Verschluesselung und Einstellungen per Group Policy steuern Alle Wechseldatentraeger schuetzen Bitlocker Network Unlock Bitlocker Recovery Key im Active .
The Windows The Windows Universe Universe Windows 3.1 Windows for Workgroups Windows 95 Windows 98 Windows 2000 1990 Today Business Consumer Windows Me Windows NT 3.51 Windows NT 4 Windows XP Pro/Home. 8 Windows XP Flavors Windows XP Professional Windows XP Home Windows 2003 Server
AutoCAD 2000 HDI 1.x.x Windows 95, 98, Me Windows NT4 Windows 2000 AutoCAD 2000i HDI 2.x.x Windows 95, 98, Me Windows NT4 Windows 2000 AutoCAD 2002 HDI 3.x.x Windows 98, Me Windows NT4 Windows 2000 Windows XP (with Autodesk update) AutoCAD 2004 HDI 4.x.x Windows NT4 Windows 2000 Windows XP AutoCAD 2005 HDI 5.x.x Windows 2000 Windows XP
A computer with at least a 450MHz Pentium CPU with 128 MB of RAM, running Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8/8.1, Windows 10, Windows Server 2012, Windows Server 2016 or Windows Server 2019 platforms. Instal
Windows 8.1 *6 Windows Server 2003 *7 Windows Server 2008 *8 Windows Server 2012 *9 Mac OS X *10: Supported *1 Printer drivers support both 32-bit and 64-bit Windows. *2 Microsoft Windows XP Professional Edition/Microsoft Windows XP Home Edition *3 Microsoft Windows Vista Ultimate/Microsoft Windows Vista Enterprise/Microsoft Windows Vista Business/
PowerBook 145B/80 B1433 MIT 1370 PowerBook Duo 230/ 120 B1432 MIT 2480 ThinkPad 720/160 9552-308 MIT 3245 ThinkPad 720C/160 9552-30J MIT 4540 DeskJet 500 HP-C2106A MIT 370 LaserJet lIP Plus HP-C2007A MIT 790 Value Bundle 4MB RAM/120MB hard disk MIT 1215 Value Bundle
Microsoft Windows 7, 32-bit and 64-bit Microsoft Windows 8 & 8.1, 32-bit and 64-bit Microsoft Windows 10, 32-bit and 64-bit Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012, 64-bit only RAM: Minimum 2 GB for the 32-bit versions of Microsoft Windows 7, Windows 8, Windows 8.1, and Windows 10.
Machine Edition Product Windows 7SP1 Windows 8 and 8.1 Windows 10 QP View Developer - QP Logic Developer – PC - o Windows 7 Ultimate, Windows 7 Enterprise, Windows 7 Professional and Windows 10. Notes The above versions of Windows are supported in both 32-bit and 64-bit. Windows regional settings must be set to English.
Iowa, 348 P. Sharma, O. P. (1986) Textbook of algae. Tata Mcgrawhill Publishing company Ltd. New Delhi. 396. p. UNESCO (1978) Phytoplankton manual. Unesco, Paris. 337 p. Table 1: Relative abundance of dominant phytoplankton species in water sarnples and stomach/gut of bonga from Parrot Island. Sample Water date 15/1/04 LT (4, 360 cells) Diatom 99.2%, Skeletonema costatum-97.3% HT (12, 152 .
