ASAI Advanced Security AD Infrastructure

Der Fokus dieses „Advanced“ Intensivkurses ist der Aufbau einer sicheren AD Infrastruktur nach dem Microsoft ESAE Referenzmodell (Enhanced Security Administrative Environment) mit Tier 0, Tier 1 und Tier 2 für eine Enterprise AD Umgebung mit oder ohne einem zusätzlichen sicheren AD Bastion Forest (BF), auch „Red Forest“ genannt. Zwei Besonderheiten von der ESAE-Realisierung nach NT SYSTEMS ist das Arbeiten mit SCAMA (Smart Card Authentication Mechanism Assurance) und die Kombination von SCAMA mit msDS-ShadowPrincipal in einem Bastion Forest.

In einem ESAE Modell werden die 3 Tiers als OUs unter der Top Level OU ESAE für drei logische Sicherheitszonen aufgebaut: AD+PKI+ADFS (Tier 0), Exchange und andere Server (Tier 1) und Desktops (Tier 2), die die Administratoren, Gruppen und Server sowie PAW (Privileged Access Workstation) enthalten. Administratoren der 3 Tiers dürfen sich nur innerhalb ihrer Sicherheitszone mit ihren Tier-Konten bewegen. Die Verwaltung soll ausschließlich von einer sicheren PAW aus durchgeführt werden.

Der ASAI-Kurs besteht aus 6 Blöcken (Schwerpunkte):

Block 1

• Grundlage: Passwort NTLM-Hash, Cracken von LSA Cache, Schützen von LSA Cache durch Credential Guard.
• Grundlage Kerberos, Master Keys, Session Keys, TGT (Ticket Granting Ticket), TGS (Ticket Granting Service Ticket), SPN (Service Principal Name), Token Size.
• PAC-Validation der Signaturen (Krtbtgt, Server).
• Angriffsvektoren wie Golden Ticket & Silver Ticket, Offline Cracken von Ntds.dit, Skeleton Key etc. und die Gegenmaßnahmen.

Block 2

• PAW (Privileged Access Workstation) – Installation und Konfiguration
• Clean Source durch Hash-Vergleich
• SCM Baseline Security, Firewall-Konfiguration.
• Credential Guard, Restricted Admin, BitLocker, Smart Card.
• LAPS (Local Administrator Password Solution).
• Verschlüsselte Kommunikation via IPsec von PAW aus.

Block 3

• Szenario 1 – Arbeiten mit SCAMA (ohne Bastion Forest)
• Aufbau der ESAE OU-Struktur für die 3x Tiers und PAW.
• Identifizieren der privilegierten Gruppen, Delegation
• Entleeren der Built-In Admin-Gruppen z. B. „Domain Admins“ und durch stellvertretende Gruppen z. B. T0-DomAdmins ersetzen.
• Einrichten von SCAMA mit Issuance Policy für die privilegierte Tier-Gruppe
• Zuordnung Issuance Policy und Admin-Gruppe
• SCAMA Zertifikat anfordern. Dynamische Gruppenmitgliedschaft (Windows Access Token).
• Administration verschiedener Szenarien von PAW aus, z. B. Schemaerweiterung, Replikation DCs, Zugriff auf DCs etc.
• Arbeiten mit Exchange „Shared Permissions“, „RBAC Split Permissions“ und „AD Split Permissions“ Models.

Block 4

• Szenario 3 – Bastion Forest (mit SCAMA, jedoch ohne MIM)
• Anlegen der Universal Gruppen für Admninistratoren des jeweiligen Produktionsforests im Bastion Forest
• Einrichten von SCAMA für diese Gruppen
• Zuordnen der Gruppen mit den msDS-ShadowPrincipals
• Verwaltung des Produktionsforests nach Anmeldung via SCAMA an einer PAW

Block 5

• RBAC-basiertes SCOM und SCCM für den SCAMA Einsatz Konfigurieren

Block 6

• Security Auditing und Monitoring z. B. PSExec-Nutzung durch SCOM, PowerShell, XPATH-Filter