Windows Security Mit Bordmitteln - IT-Consulting-Grote

1m ago
3 Views
0 Downloads
889.73 KB
32 Pages
Last View : 1m ago
Last Download : n/a
Upload by : Ophelia Arruda
Transcription

Windows Security mitBordmittelnMarc.Grote aka Jens Baier aka Marcimarc

Agenda PKI-InfrastrukturenVerschluesselungActive Directory SicherheitsmodellAuthentication SilosPrivileged Access Management (PAM)Privilegierte Admin WorkstationLAPS (Local Administrator Password Solution)JEA (Just Enough Administration)Bitlocker und Bitlocker To GoSecurity Configuration Wizard (SCW)Applocker / Software Restriction Policies

Agenda Advanced Threat Analytics (ATA) – WindowsDefender Microsoft Baseline Security Analyzer (MBSA) Security Compliance Manager (SCM) Shielded VM in Hyper-V Umgebungen Enhanced Mitigation Experience Toolkit (EMET) Virtual Secure Mode / Credential Guard Firewall Management Logging und Monitoring Organisatorische Massnahmen zur Erhoehungder Sicherheit in IT-Netzwerken

Wer bin ich? Marc Grote Seit 1989 hauptberuflich ITler / Seit 1995 Selbststaendig Microsoft MVP fuer Hyper-V 2014, seit 2015 MVP Cloud andDatacenter (MVP Forefront von 2004-2014) Microsoft MCT/MCSE MC*MCSE Private Cloud, Productivity, Cloud Platform andInfrastructure, Server Infrastructure, ExchangeMCS Server Virtualization Hyper-V / System Center/ AzureMCITP Virtualization Administrator Buchautor und Autor fuer Fachzeitschriften Schwerpunkte:- Windows Server Clustering/Virtualisierung/PKI- System Center SCVMM/SCEP/DPM- Exchange Server seit Version 5.0- von *.Forefront reden wir nicht mehr

PKI Infrastrukturen Certificate AuthorityCertificate TemplatesCertificatesRegistration AuthorityCRL & OCSPHSMCSPRole SeparationCNGKey RecoveryTrusted Root CA Certificates

Verschluesselung EFS Bitlocker SSL/TLS IPSEC/L2TP over IPSEC/PPTP/SSL VPN S/MIME & PGP SMTPS LDAPS SMB/CIFS Native Protokollverschluesselung

Active DirectorySicherheitsmodell Sichere KennwoerterDedizierte Admin AccountsRestricted GroupsManaged Service AccountsAnmelderestrictionenPrivileged User AccountsPort und Service MinimierungUser Berechtigungen und -RechteGroup PoliciesDokumentationUser Account Control (UAC)

Active DirectorySicherheitsmodell DSRM PasswordDedicated Admin WorkstationsDisable Guest – Rename AdministratorPassword PolicyProtected UsersEvent AuditAD SicherheitszonenTimesyncDC SecurityRODCApplocker / Software Restriction PoliciesTrust (Selective Auth., SID-Filtering)

Authentication Policy Silos Legt Zugriff und Authentifizierung fuer restrictedAccounts im Active Directory fest Authentication Policy definiert Kerberos TicketLifetime / Geraeterichtlinien (z. B. NTLM ablehnen)und Authentifizierungs-Anforderungen (ManagedService Account – Managed Group ServiceAccounts) Restricted Users Group Dynamic Access Control (DAC) ist Voraussetzung Erstellung im ADAC

Privileged AccessManagement (PAM) Mitgliedschaft in administrativen Gruppen auf Zeit Multi Faktor Authentifizierung integrierbar AD Forest mit Windows Server 2016 erforderlich AD Trust zum Produktions Forest erforderlich PAM kann separat aktiviert werden Einstellung irreversibel SAM verwaltet Ablaufzeit von Gruppenzugehoerigkeiten Token Kerberos TGT erhaelt Ablaufzeit der kuerzestenGruppenmitgliedschaft Provisionierung mit MIM (Microsoft Identity Manager ehemalsFIM (Forefront Identity Manager) Administrative Gruppen werden im PAM AD Forest gespiegeltmit MIM Shadow Security Principals)

Privilegierte AdminWorkstation Dedizierter Windows Client zur Administration derUmgebung Installation der RSAT Tools Installation weiterer Administrations-Tools Zugangsbeschraenkung des RDP-Zugangs /administrativer Berechtigungen Kein Internet Zugang Aktueller Virenscanner Aktivierte und gepflegte Windows Firewall Betrieb als VM – Ggfs. Restore der VM taeglich

Local Administrator PasswordSolution (LAPS) Aenderung von Administrator Kennwoerternauf lokalen Windows Clients Reaktion auf MS14-025 Kennwoerter werden im AD gespeichert undauf dem Client aktualisiert Administration ueber GPO und GPO ClientSide Extension Download kostenlos erhaeltlich

Just Enough Administration(JEA) Reduzierung der Anzahl Administratoren aufdem System Limitierung der Zugriffsberechtigungen vonBenutzern Download kostenlos erhaeltlich Windows Management Framework 5.0notwendig Installation und Konfiguration via PowerShell Erweiterung der PowerShell um JEA-Extensions

Bitlocker & Bitlocker to Go Bitlocker bei mobilen Geraeten verwenden Bitlocker bei physikalisch unsicheren Servernverwenden Bitlocker in virtuellen Maschinen verwenden Verschluesselung und Einstellungen per GroupPolicy steuern Alle Wechseldatentraeger schuetzen Bitlocker Network Unlock Bitlocker Recovery Key im Active Directoryspeichern

Security Configuration Wizard Rollenbasierte Sicherheit fuer WindowsSysteme Referenzmaschine als Basis fuer Richtlinien Anwendung manuell per XML Konvertierung von SCW-Richtlinien perSCWCMD in Group Poliy Objects Teilweise verfuegbar fuer Microsoft ServerAnwendungen

Advanced Threat Analytics(ATA) Analysen von Anomalien im Verhalten Erkennung von Angriffen Warnungen vor bekannten SicherheitsrisikenQuelle: 09.aspx

Enhanced MitigationExperience Toolkit (EMET) Verhinderung der Ausnutzung vonSicherheitsluecken in Anwendungen Certificate Pinning Certificate Trust Configuration Integration in Windows Sicherheitsfunktionen(DEP, SEHOP, ASR, MandatoryALSR) Bereitstellung per Group Policy / SCCM oderanderen Loesungen Download kostenlos erhaeltlich

Microsoft Baseline SecurityAnalyzer (MBSA) Bestimmung des Sicherheitszustands von WindowsSystemen und Microsoft Anwendungen Empfehlungen zur Behebung vongefundenen Problemen Ueberpruefung von einzelnenSystemen oder Netzwerk-Scans Integration mit WU/MU/WSUS/SCCM Download kostenlos erhaeltlich

Security Compliance Manager(SCM) Konfigurations Baselines fuer WindowsSysteme und Anwendungen Aktuell fuer Windows 10 und Server 2016 SCM erstellt Gruppenrichtlinienobjekte mitBaseline Konfigurationen SCM enthaelt Security Guides Download: ators/cc835245.aspx

Attack Surface Analyzer Erstellt einen Snapshot eines Systems vor undnach der Installation von Anwendungen undvergleicht die Aenderungen aufSicherheitsgefaehrdungen nach MicrosoftBest Practices Download: px?id 24487

Shielded VM in Hyper-VUmgebungen VSM – Virtual Secure Mode Shielded VM – Neue Schaltflaeche in Gen 2 VM Hyper-V Host muss TPM 2.0 und UEFI 2.3.1 verwenden, wennkein dedizierter AD Forest verwendet warden soll Nutzung von Virtual TPM in VM Bitlocker Verschluesselung in VM (Live Mig Traffic) Ausfuehrung der VM nur auf Trusted Hosts Kein Zugriff durch nicht erlaubte Hyper-V / VMMAdministratoren moeglich HGS (Host Guardian Service) verwendet dedizierten ActiveDirectory Forest, wenn kein TPM 2.0 und UEFI 2.3.1 auf denHyper-V Hosts verfuegbar ist HGS fuehrt Host-Validierung und Schluesselverteilung durch

Virtual Secure Mode /Credential Guard Schutz von Anmeldeinfomationen (LSA) mit Hilfe vonVirtualisierung (VSM) Credential Guard kommuniziert ueber die LSA mitLSAIso Windows 10 Enterprise UEFI 2.3.1 / Secure Boot SLAT Intel VT-x / AMD RVI X64 und IOMMUQuelle: 40(v vs.85).aspx TPM 2.0 (1.2) Aktivierung ueber GPO

Firewall ManagementEnterprise FirewallMulti Layered SecurityMehr Stufen DMZ DesignHoneypotReverse Proxy mit ALFClient Firewall (Windows oder Third Party)Intelligente Client Firewall (IPS, IDS, Malware,Behaviour Detection) Client Firewall Management mit Group Policy Auswertung von Firewall Logs

Logging und Monitoring Windows Event LoggingFirewall / Proxy / Router LogsSpecial Log FilesBaseline SecurityIDS/IPS Analyse Log FilesEvent Log Collection ServicesArchivierung von LogfilesRedundante (Read only) Log File SpeicherungThird Party Monitoring Loesungen fuer Server,Anwendungen und Netzwerk

Organisatorische Massnahmenzur Erhoehung der SicherheitAusbildung der Anwender & AdministratorenArbeitsanweisungen & VerhaltensanleitungenZutrittskontrolle & ZugangsschutzAuditsDokumentationSteuerung des Remotezugangs von ExternenSichere Entsorgung von FirmendatenAendern von Standardkennwoerten / Zugaengen /Konfigurationen von Routern, Switchen, Druckern,Appliances und anderen Geraeten Kontrollierte Verbreitung von Firmeninformationen Sichere Aufbewahrung von Backups

TechnischeSicherheitsmassnahmen Zugangskontrolle / ZutrittskontrolleAusgangskontrollePfoertner & MentorAusweiseSicherheitstueren / SicherheitsschleusenWaagen im RZDevice Lock fuer mobile GeraeteSperren von WechseldatentraegernVideoueberwachungWLAN / Port Security

Kontakt Marc Grote E-Mail: marc.grote@it-consulting-grote.deWeb: http://www.it-consulting-grote.deBlog: http://blog.it-consulting-grote.deXING: https://www.xing.com/profile/Marc Grote2Mobile: 4917623380279

Bitlocker & Bitlocker to Go Bitlocker bei mobilen Geraeten verwenden Bitlocker bei physikalisch unsicheren Servern verwenden Bitlocker in virtuellen Maschinen verwenden Verschluesselung und Einstellungen per Group Policy steuern Alle Wechseldatentraeger schuetzen Bitlocker Network Unlock Bitlocker Recovery Key im Active .

Related Documents:

A computer with at least a 450MHz Pentium CPU with 128 MB of RAM, running Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8/8.1, Windows 10, Windows Server 2012, Windows Server 2016 or Windows Server 2019 platforms. Instal

Windows 8.1 *6 Windows Server 2003 *7 Windows Server 2008 *8 Windows Server 2012 *9 Mac OS X *10: Supported *1 Printer drivers support both 32-bit and 64-bit Windows. *2 Microsoft Windows XP Professional Edition/Microsoft Windows XP Home Edition *3 Microsoft Windows Vista Ultimate/Microsoft Windows Vista Enterprise/Microsoft Windows Vista Business/

Microsoft Windows 7, 32-bit and 64-bit Microsoft Windows 8 & 8.1, 32-bit and 64-bit Microsoft Windows 10, 32-bit and 64-bit Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012, 64-bit only RAM: Minimum 2 GB for the 32-bit versions of Microsoft Windows 7, Windows 8, Windows 8.1, and Windows 10.

Machine Edition Product Windows 7SP1 Windows 8 and 8.1 Windows 10 QP View Developer - QP Logic Developer – PC - o Windows 7 Ultimate, Windows 7 Enterprise, Windows 7 Professional and Windows 10. Notes The above versions of Windows are supported in both 32-bit and 64-bit. Windows regional settings must be set to English.

- 32 & 64 bit Windows 7, Windows 8 & Windows 10 - 32 & 64 bit Windows 2008 Server - Windows 2008 Server R2 - Windows Server 2012 - Windows Server 2012 R2 - Windows Server 2016 NOTE: Microsoft .Net Framework 4.5 is required on all o

Windows ME, Windows NT 3.51 and 4, Windows 2000 PRO, Windows 2000 Server, Windows XP Home / XP PRO / XP 64bit / Windows 7 (32 & 64bit), Windows Vista (32 & 64bit), Windows 2003 Server and Windows 2008 Server. Design, test, install Surveillance Systems. Design, Build and Sell Forensic Computer Systems.

Oct 16, 2006 · Windows XP & Windows 2000 Users Only Windows XP and Windows 2000 users will see this screen. Click OK to continue. Click OK Windows 98SE Users Only Windows 98SE users will see these screens. Insert your Windows 98 Installation disk into your CD-ROM drive Click Yes Click OK Click OK Enter the location of the Windows 98 setup files (e.g. “ D .

FireEye Network Security specifications, integrated appliance. NX 2500 NX 2550 NX 3500 NX 4500 NX 5500 NX 10450 NX10550 OS Support Microsoft Windows Mac OS X Microsoft Windows Mac OS X Microsoft Windows Mac OS X Microsoft Windows Mac OS X Microsoft Windows Mac OS X Microsoft Windows Microsoft Windows Mac OS X Performance * Up to 50 Mbps or 100

PowerBook 145B/80 B1433 MIT 1370 PowerBook Duo 230/ 120 B1432 MIT 2480 ThinkPad 720/160 9552-308 MIT 3245 ThinkPad 720C/160 9552-30J MIT 4540 DeskJet 500 HP-C2106A MIT 370 LaserJet lIP Plus HP-C2007A MIT 790 Value Bundle 4MB RAM/120MB hard disk MIT 1215 Value Bundle

Several LTSC Windows Server versions that are supported with SC Series are in various phases of mainstream or extended Microsoft support: Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, and Windows Server 2019. Microsoft extended support for Windows Server 2008 R2 is scheduled to end in January 2020.

Windows 10 Home S 64 Entry Season Compact Windows 10 Home 64 Chinese Market CPPP Windows 10 Home 64 High-end Chinese Market CPPP Windows 10 Home 64 Plus Windows 10 Home 64 Plus Single Language Windows 10 Home 64 Plus Single Language Africa Market Windows 10 Home 64 Plus Single Language APAC EM PPP Windows 1

the GUID Partition Table (GPT) scheme, if your Windows installation. . Pro4 Motherboard and a TPM and Windows 10 says Secure Boot Unsupported. . 10/8/7 system, follow the useful solutions to fix UEFI boot on Windows 10. windows loader windows loader unsupported partition table fix Windows Loader 1.9.7 By Daz Windows Loader 1.9.7 By Daz .

Windows Phone includes several security-related improvements over Windows Phone 8, as listed in Table 2. These improvements were added based on feedback from customers to make Windows Phone devices more secure, enterprise ready, and yet easy for users to operate. Table 2. Security Improvements in Windows Phone 8.1 Security improvement Description

AVG Internet Security is intended to protect workstations with the following operating systems: Windows XP Home Edition SP3 Windows XP Professional SP3 Windows Vista (all editions) Windows 7 (all editions) Windows 8 (all editions) Windows 10 (all editions) (and possibly higher service packs for specific .

djain@mit.edu, sra@mit.edu, jguo01@risd.edu, rvictor@mit.edu, raywu22@mit.edu, juschiu@mit.edu, geek@mit.edu ABSTRACT We present Amphibian, a simulator to experience scuba diving virtually in a terrestrial setting. While existing diving simulators mostly focus on visual and aural di

For Peer Review A OverCode: Visualizing Variation in Student Solutions to Programming Problems at Scale ELENA L. GLASSMAN, MIT CSAIL JEREMY SCOTT, MIT CSAIL RISHABH SINGH, MIT CSAIL PHILIP J. GUO, MIT CSAIL and University of Rochester ROBERT C. MILLER, MIT CSAIL In MOOCs, a single programming exercise may produce thousands of solutions from learners.

3.2.1 Fokussieren mit »autofocus« 60 3.2.2 Platzhalter-Text mit »placeholder« 61 3.2.3 Verpflichtende Felder mit »required« 62 3.2.4 Noch mehr neue Attribute für das »¡nput«-Element 62 3.3 Neue Elemente 65 3.3.1 Anzeigen von Messgrdfien mit »meter« 65 3.3.2 Fortschrittsanzeige mit »progress« 68 3.3.3 Auswahllisten mit »datalist« 69

MIT 401(k) Oversight Committee, 2014-2019. MIT Committee on Graduate Programs, 2017-2019. MIT International Advisory Committee . MITx Faculty Advisory Committee . MIT Sloan: International Initiatives Committee, Co-Chair of Space Committee, Chair of Load Committee, and Member of various standing committees, MIT Sloan School of Management, 2011-2015.

Apr 12, 2017 · Windows 10 Commercial Storybook Anniversary Update Free, built-in protection from security threats Windows Defender Windows Firewall Trusted Boot The most comprehensive security *Windows Hello requires specialized biometric hardware. Help protect your business information, cus

of general rough paths. However, in this paper, we will focus on the case where the driving signal is of bounded variation. Following [6] we interpret the whole collection of iterated integrals as a single algebraic object, known as the signature, living in the algebra of formal tensor series. This representation exposes the natural algebraic structure on the signatures of paths induced by the .