Administration von Group Policy

Wir unterrichten in diesem Kurs, nicht nur wie Group Policies und Preferences für Windows 10/11 und Windows Server 2019/2022 korrekt eingesetzt werden können, sondern auch wie Group Policy intern arbeitet und wie man die Sicherheit von Windows Maschinen durch neue Group Policies erheblich steigern kann.

Mit Windows 10 (1709) wurde der Windows Defender massiv um zwei neue mächtige Features erweitert: Defender Exploit Guard und Defender Application Guard. Defender Exploit Guard bietet zum ersten Mal die Ordner im Benutzerprofile und auch andere Ordner gegen die Verschlüsselungstrojaner (Ramsomeware) zu schützen. Defender Application Guard für Edge sorgt dafür, dass eine Internet Sitzung in einem isolierten Container (Docker) läuft und somit den Windows Host nicht gefährden kann.

Die Kommunikation vom Gpsvc Service via NETLOGON über LDAP (AD) und SMB (SYSVOL) mit den Domain Controllern kann mit Hilfe der Events und die darin enthaltenen Activity-IDs genau analysiert werden, um Troubleshooting effektiv betreiben zu können. Der Crimson Channel Event Provider Microsoft-Windows-GroupPolicy liefert klassifizierte Events, die detaillierte Auskunft darüber geben, in welcher der 3 Processing Phasen ein GPO sich befindet und was er tut, und ob es sich dabei um eine User oder Computerrichtlinie handelt, die bei einer Anmeldung (Logon » Foreground Processing) oder Hintergrundaktualisierung (Refresh » Background Processing) generiert wurde. Für die Bearbeitung und Analyse der Security Baselines wird im Kurs das Security Toolkit mit dem Policy Analyzer eingesetzt.

Teilnehmer praktizieren, wie ein Windows 10 Enterprise PAW (Privileged Access Workstation) „clean“ installiert und u.a. mit Hilfe der Gruppenrichtlinien sehr sicher konfiguriert werden kann. Administratoren müssen künftig von einem PAW aus die Domäne und Applikationen verwalten. Durch diverse Sicherheitslöcher von Kerberos ist das Active Directory höchst gefährdet. Angreifer nutzen diese Schwäche, um Kerberos Golden Tickets (TGT) und Silver Tickets (TGS) mit beliebiger Identität zu erzeugen um unerlaubte Zugriffe auf die AD-Ressourcen zu erhalten. Um Active Directory effektiv zu schützen, ist das ESAE (Enhanced Security Administrative Environment) Sicherheitsmodell mit den drei Tiers: Tier 0, Tier 1 und Tier 2, unbedingt zu praktizieren. Dieser Group Policy Kurs trägt dazu bei ESAE zu realisieren.

AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

Folgende Themen werden im Kurs behandelt:

• Lokale Richtlinien und Gruppenrichtlinen und deren Einsatzgebiete
• Wirkungsbereiche » LSDOU und Vererbung sowie Ausführungspriorität von Gruppenrichtlinien
• Struktur und Speicherorte eines GPO (Group Policy Object)
• "alte" ADM und neue XML-basierende sprachneutrale ADMX (Executable) sowie sprachabhängige ADML (Language)
• Client & Server und WMI-Repository
• Ausführung von Gruppenrichtlinien bei Computer und Benutzer: Foreground & Background Processing
• Client Side Extensions (CSE)
• Group Policy vs. Group Policy Preferences
• Filterung durch DACL und WMI
• Administration von GPO mit PowerShell
• Vergleichen und Analysieren sowie Exportieren der Security Base Lines mit dem Security Toolkit Policy Analyzer
• Konfiguration von PAW (Priviledge Access Workstation) mit Hilfe von Security Policies
• UEFI Secure Boot, Credential Guard, Windows 10 (1709) Defender Exploit Guard, Defender Application Guard (Edge)
• Konfiguration von WSUS für Feature und Security Updates
• Group Policy Events Klassifizierung
• Die 3x Verarbeitungsphasen: Preprocessing, Processing, Post-Processing
• End-To-End Group Policy Events Trace durch Activity-ID

Zu Beginn werden die Grundlagen von Gruppenrichtlinien vermittelt. Die mehrstufigen lokalen Richtlinien wurden mit Windows VISTA und 2008 eingeführt. Auch die ADMVorlagen werden durch neue ADMX und ADML ersetzt, die in einem CentralStore in SYSVOL liegen sollen. Windows 7 / 10 und Windows Server 2012 R2 / 2016 bringen einige neue Richtlinien mit, die wir im Kurs auch kennenlernen. Im Kurs arbeiten wir mit einer ESAE (Enhanced Security Administrative Environment) OU-Hierarchie, die wir auch in unserem ASAI Kurs praktizieren. Die Wirkungsbereiche von GPO sowie deren Vererbung und Filterung werden erläutert und durch mehrere Übungen praktiziert.

Der Schwerpunkt Troubleshooting wurde stark erweitert: Group Policy Events Klassifizierung und End-To-End Trace durch Activity ID. Mit VISTA wurde Group Policy general überholt und umgebaut. Group Policy bringt nicht nur einen eigenen Service mit, sondern erzeugt auch einen eigenen Event Log (Microsoft-Windows-Group Policy\Operational), der alle Events der Group Policy Verarbeitung auf einem Computer enthält.

Diese Events sind klassifiziert und erleichtern somit die Fehlersuche:

- Computerstart Event: 4000 (Information), 6000 (Warning), 7000 (Error), 8000 (Sucess)- User Logon: 4001, 6001, 7001, 8001- Computer Manual Refresh: 4004, 6004, 7004, 8004- User Manual Refresh: 4005, 6005, 7005, 8005- Computer Periodic Refresh: 4006, 6006, 7006, 8006- User Periodic Refresh: 4007, 6007, 7007, 8007Um Fehler leichter zu finden, muss man die drei Phasen der Group Policy Verarbeitung auch unbedingt kennen:

• Pre-Processing
• Processing
• Post-Processing

Die Pre-Processing Phase ist die komplexeste und auch langwierigste Phase, in der wiederum mehrere Schritte durchgeführt werden müssen, bevor ein GPO (Group Policy Object) für Computer und Benutzer ausgeführt werden kann:

• Start Policy Processing
• Retrieve Account Information
• Domain Controller Discovery
• Computer Role Discovery
• Security Principal Discovery
• Loopback Processing Mode Discovery
• GPO Discovery
• Group Policy Caching (Nur Windows 8.1 und Server 2012-R2)
• Slow Link Detection
• Nonsystem GP Extension Discovery

Durch die Event-Klassifizierung der drei Verarbeitungsphasen von Gruppenrichtlinien kann man zwar die einzelnen Events interpretieren, aber erst zusammen mit dem End-To-End Event Tracing für Group Policy mit Hilfe der Activity-ID und dem Filtern der Events mit XPath, kann der gesamte Verarbeitungszyklus, z. B. User Logon, oder Computerstart analysiert werden. Ab VISTA sind die Events im XML-Format, deren Inhalt nur mit XPath-Filter effektiv durchsucht werden kann.

Neben den "normalen" Group Policies und Preferences sind die Security Baselines immer wichtiger! Zum Abschluss wird daher am dritten Tag ein "Sicherheitspaket" mit einigen Sicherheitsrichtlinien und GPOs kreiert, um einen "braven" aber "clean" installierten Windows 10 Enterprise zu einer hochsicheren PAW (Privileged Access Workstation) zu machen. Dabei wird das Security Toolkit mit dem Policy Analyzer eingesetzt, um die Security Baselines zu analysieren und mit anderen Baselines (Referenz) zu vergleichen.Die PAWs müssen regelmäßig über WSUS die Feature und Security Updates bekommen.

Überblick und Grundlage

• Einsatz von Group Policy für Benutzer und Computer
• Arten von Group Policy
• Wirkungsbereiche LSDOU: Lokale und Gruppenrichtlinien
• Vererbung und Priorität
• Konfliktmanagement (vertikale und horizontale Konflikte)
• Loopback Verarbeitung (und WMI Filter vs. Loopback-Processing)
• Benutzer- (HKCU) und Computerkonfiguration (HKLM)
• Effektive OU-Strukturen für Group Policy

Group Policy Objects (GPO)

• Group Policy Container (GPC) und Group Policy Template (GPT)
• CentralStore in SYSVOL für ADMX und ADML
• Versionsnummer und Symmetrie zwischen GPT und GPC
• "gpcfilesyspath" und "same as parent folder" - DNS und der Einfluss auf GPOs
• Policies und Preferences
• Group Policy Status
• Group Policy Caching am Windows 8.1

Ausführung von Group Policies 

• Download der GPOs durch NETLOGON (Netlogon Remote Protocol) via RPC over SMB
• Ausführung der Richtlinien durch Group Policy Client Service (gpsvc) für Computer und Benutzer
• Synchrone und Asynchrone Abarbeitung
• Hintergrundaktualisierungraten (90 + 30 / 5 Minuten) - GPupdate - Invoke-GPupdate
• Verzögerung durch AD-Replikation - repadmin /syncall
• Client Side Extensions (CSEs) und deren Aufgaben
• Loopback Verarbeitung im Vergleich zu WMI-Filter

DACL- und WMI-Filterung

• Filterung des Wirkungsbereichs durch DACL und WMI-Filter
• write gplink und read gplink
• WMI-Filterung für Benutzer und Computer
• Zahlreiche Übungen mit PowerShell und WMI

Gruppenrichtlinien mit der PowerShell verwalten

• Gesamtübersicht aller GPOs
• Erstellen und Zuweisen von GPO
• Berechtigung von GPO
• GPO-Report
• Backup sowie Import und Export von GPO
• Copy-GPO
• PowerShell vs. GPMC Skripte

PreferencesMehrere Übungen mit Preferences für Computer und Benutzer - Preferences vs. GPO-Skripte

• Drive Maps: Netzwerklaufwerk Mapping und "Hidden Drive"
• Environment: User und Systemvariable
• Files & Folders: Verteilen von Dateien und Ordner z.B. Anwendungsvorlagen
• Devices: Geräte erlauben oder Verbieten z.B. DVD/CD-ROM
• Internet Settings: Warum das IEAK (Internet Explorer Administration Kit) bei Windows 8 gestorben ist
• Power Options: Power Plan für Notebooks
• etc.

Drei Group Policy Processing Phasen - Event Log & Event-KlassifizierungDieser Block gibt uns einen Gesamtblick über alle Event-Klassen von Group Policy Verarbeitung

• Der Event Provider Microsoft-Windows-GroupPolicy
• Crimson Channel "Microsoft-Windows-GroupPolicy\Operational" vs. Primary Channel Log "System"
• Die drei Processing Phasen: Pre-Processing, Processing, Post-Processing
• Die Event-Klassifizierung: Computer Neustart, User Logon, Computer Manual Refresh, User Manual Refresh etc.

End-To-End Tracing mit Activity-ID & Suchen mit XPath-FilterDieser Block hilft uns alle Events innerhalb eines Verarbeitungszyklus z.B. Computerstart, User Logon etc. schnell zu finden.

• Analyse eines XML-Events: System, EventData
• Suchen mit XPATH-Filter
• Activity-ID eines Verarbeitungszyklus
• Suchen nach allen Events von Gruppenrichtlinienausführung bei einem Computerstart
• Suchen nach allen Events von Gruppenrichtlinienausführung bei einem User Logon
• Analyse der Performance der Gruppenrichtlinienverabeitung mittels "OperationElapsedTimeInMilliSeconds"

Troubleshooting 

• Troubleshooting - Best Practices
• System Log (Admin Log) und Operation Log
• Aktivierung Debug Log gpsvc.log 
• Analyse von Verzögerungen mit XPerf & XBootmgr
• CSE (Client Side Extensions) Protokollierung
• SYSVOL Replikation erzwingen
• Verschiedene Problemszenarien - Lösungen

Security Toolkit Policy Analyzer

• Arbeiten mit dem Policy Analyzer
• Importieren der Microsofts Security Baselines
• Anlegen der GPOs für PAW - Exportieren
• Vergleichen der GPOs mit Policy Analyzer

PAW (Privileged Access Workstations)

• Clean Source Installation von Windows 10 Enterprise - Hash von ISO
• Konfigurieren der einzelnen GPOs für PAW
• UEFI Secure Boot mit DMA Protection
• BitLocker + TMP + PIN
• Credential Guard
• LAPS
• Administration der Domäne von einem PAW aus 

Zielgruppen

Das Seminar richtet sich an Domain und Enterprise Administratoren, Server- und Desktop-Administratoren sowie IT-Sicherheitspersonal.