ASAI-2 - Hybrid Authentication - Seminar / Kurs von NT Systems GmbH & Co. KG

In diesem 4-Tageskurs werden neue Features und Passwordless Authentication Methoden präsentiert, die die Verwaltung einer AD Multi-Forest Umgebung noch höhere Sicherheit und Flexibiltät bietet. Der bisherige eingeschränkte interne Wirkungsbereich durch die On-Premises Kerberos Authentifizierung wird mit Hilfe von Azure AD erweitert, sodass Administratoren auch von unterwegs oder von Home Office aus auf die Firmenserver sicher zugreifen und auch administrieren können.

Block 1: Kerberos Authentication mit Erweiterung des ASAI-1 Kurses um die Compound Authentication mit PAPA, MAMA, Resource Based Delegation in Multi-Forest.Mit PAW2Go können PAW und SCAMA ausserhalb der Firmengelände mit Hilfe von VPN eingesetzt werden.Bastion Forest für Tier 0 (Red Forest)Bastion Forest für Tier 1 (Privileged Forest)Cross-Forest TGT

Block 2: Passwordless Authentication mit Azure AD: Windows Hello for Business (WHfB), FIDO2 Security Key, Hello SCAMACompound Authentication mit Windows Hello for Business (DeviceID + User Identity)AAD Connect und Hybrid Authentication (PTA, PHS mit sSSO)Remote Desktop Services (RDS) Gateway, RDP Zugriff auf On-premises Ressourcen über den Azure Application Proxy mit Conditional Access und MFA

In ASAI-2 werden die neuesten zertifikatsbasierenden Kerberos Erweiterungen für Windows 10 und Windows Server 2016/2019 unterrichtet, die dafür sorgen, dass kein Computerpasswort und Benutzer-Passwort für die Verschlüsselung der Kerberos Nachrichten eingesetzt werden müssen. PKINIT (User+Computer) und FAST sowie Compound Authentication erhöhen die Sicherheit in einem Bastion Forest erheblich.

In ASAI-2 nutzen wir den den Windows Admin Center (WAC) als Sammelpunkt (Jump Server) für die zentrale HTTPS Remote Administration von mehreren Servern in einem Produktion Forest. Er kann einen herkömmlichen Terminalserver bzw. ein RDP-Gateway ersetzen. Von einer „zertifizierten“ PAW (PAPA-MAMA) in einem Bastion Forest aus gehen Administratoren auf den Jump Server, um von dort aus per HTTPS oder auch per RDP auf andere Server in diesem Produktionsforest zu verwalten. Die Resource Based Kerberos Delegation sorgt dafür, dass Kerberos Service Tickets (TGS) im Namen vom Benutzer ausgestellt werden können.

Wenn ein PAW mit Kerberos Client Auth Zertifikat sein Private Key im Credential Guard Container ablegen kann, ist er ein „zertifizierter“ PAW, den wir als PAPA (Public-Key Authenticated PAW) bezeichnen. Ein PAW wird mit Issuance Policy versehen, sodass er nach dem Neustart zu einer zertifizierten MAMA Universalgruppe gehört (Machine Authentication Mechanism Assurance). Aktivierte Kerberos Compound Authentication Policy und zusätzliche Authentication Policy sorgen dafür, dass z.B. Red-Forest Admins nur an solcher PAW arbeiten dürfen.

Wir erweitern den Einsatz von SCAMA auf einem PAW durch PAW2Go, sodass ein PAW nun auch ausserhalb der Firma „secure“ eingesetzt werden kann. Admin bleibt „unsichtbar“, wenn er unterwegs von seinem PAW aus über das VPN auf die Firmenserver zugreift und administriert.

Wenn Azure AD zum Einsatz kommt, haben wir zwei  Erweiterungen mehr für eine sichere passwordless Authentifizierung:– Windows Hello for Business (Compound Authentication mit Benutzer-Gesichtserkennung und Device Identität)– FIDO2 Security Key als Primary (ab Windows 10 2004) oder Secondary Authentication Factor (ab Windows 10 1903)

Windows Hello For Business (WHFB) zusammen mit TPM 2.0 kann auf einer Windows 10 Enterprise für Benutzer aktiviert werden, wenn diese entweder Azure AD Joined oder Hybrid Azure AD Joined ist. Abgesehen von SCAMA ist das bei WHFB verwendete Verfahren PRT (Primary Refresh Token) im Moment als die modernste und sicherste Compound Authentifizierungsmethode in der Windows Welt. Wir nutzen im Kurs die WHFB Cert Trust anstatt Key Trust Methode. Das WHFB User Zertifikat von der Firmen PKI wird mit Hilfe von NDES und INTUNE ausgestellt.

WHfB kann zusätzlich mit FIDO2 Security Key als Secondary Authentication Faktor kombiniert werden.

Für unser ASAI-Konzept mit „unsichbarer“ Administration ist SCAMA nachwievor die bessere Methode. Wir sind noch dabei WHFB und SCAMA zu Hello SCAMA zu kombinieren. Der Vorteil ist, dass keine Smart Card für SCAMA benötigt wird. Der Nachteil ist, dass das Gesicht nur eine Roll zulässt.

Nach dem ASAI-2 Kurs können Sie ja selber die beste Methode für den jeweiligen Einsatz aussuchen.

1. Wenn ich (nicht als Admin) oft unterwegs bin, und muß global auf die Ressourcen in Azure und On-Premises zugreifen, ist eine „unabhängige“ Azure AD Joined Windows 10 mit WHFB und FIDO2 Security Key die richtige Wahl.
2. Wenn ich (als Admin) meine Server „secure“ in der Firma verwalten will, kommt nur SCAMA auf meinem PAW in Frage.
3. Wenn ich (als Admin) aber von unterwegs oder vom Home Office aus die Server in der Firma verwalten möchte, ist PAW2Go inkl. SCAMA das Richtige.
4. Anstelle Smart Card für SCAMA kann Hello SCAMA mit Gesichtserkennung in Frage kommen, allerdings ist nur eine Adminrolle möglich.

SCAMA braucht immer eine Netzwerkverbindung zu den Domain Controllern in der Firma, also per LAN oder VPN.

Gesamtblick – „Extended“ ESAE mit Hybrid-Authentication Zusammenspiel der verschiedenen Authentifizierungsprotokolle – Kerberos Based und Token Based. Neueste Sicherheitstechnologien von Windows 10 und Windows Server 2016 inkl. SCAMA, PAPA, MAMA und Windows Hello for Business (WHfB).

• SCAMA – Smart Card Authentication Mechanism Assurance (ASAI-1)
• PAPA – Public Key Authenticated PAW (ASAI-2)
• MAMA – Machine AMA (ASAI-2)
• PKINIT -Public Key (User+Device) Pre-Authentication (ASAI-2)
• FAST – Kerberos Armoring + Compound Authentication (ASAI-2)
• WHfB – Windows Hello for Business – Multi-Faktor Authentication (ASAI-2)
• JUMP SERVER – Kerberos Double-Hop mit Resource Based Delegation (ASAI-2)
• RDS – Erweiterung durch HTTPS-Zugriff vom Internet mit WHfB + Azure Application Proxy + Conditional Access (ASAI-2)
• PAW2Go – Homeoffice PAW über Microsoft Always-On VPN Device Tunneling + SCAMA (ASAI-2)
• WHfB + FIDO 2 – PAW Einsatz via VPN für Unterweges (ASAI-2)
• FIDO 2 – Azure AD Passwordless Authentication mit WHfB + FIDO2 Security Key (Secondary Authentication) – ASAI-2
• Hello SCAMA – Kombination SCAMA und WHfB (ASAI-2)

Firewall im ESAE Multi-ForestDie verschiedene AD Forests in ESAE müssen durch Firewall getrennt und geschützt werden. Der Verwaltungszugriff von einer PAW im Bastion Forest aus auf die Server in andere Forests erfordert viele Firewall Regeln. Auch Domain Controller und PIM Trust nutzen u.a. Netlogon [N-RPC] und brauchen dynamische RPC Ports. In diesem Modul zeigen wir die verschiedene Kommunikationsarten in so einem Multi-Forest und wie die dynamische Ports für RPC eingeschränkt werden können.

Verwaltung im Multi-Forest mit PAW und Jump Server Deep-Dive in Kerberos (III)Von einem PAW im Bastion Forest aus, werden die Windows Server in einem Produktionsforest durch die Firewall verwaltet.IPSec ist in einem Multi-Forest mit One-Way PIM-Trust nicht unbedingt die richtige Lösung. RDP Gateway ist langfristig auch keine richtige Lösung, weil nicht universell wie HTTPS.Jump Server sollte HTTPS von überall erreichbar sein und unterschiedliche Authentication Protokolle (Kerberos und Token Based) unterstützen.Wir zeigen, wie ein Jump Server (Windows Admin Center) in Kombination mit SCAMA (Smart Card Authentication Mechanism Assurance) genutzt werden kann, um mehrere Produktionsserver via HTTPS sicher zu verwalten. Es gibt jedoch im Moment noch Einschränkungen, die aber durch Workarounds gelöst werden können.Damit eine Kerberos SSO Authentifizierung bei diesem bekannten „Double-Hop“ Szenario möglich ist, wird die Kerberos Erweiterung S4U2Proxy angewandt.Die Resource Based Delegation erlaubt Double-Hop in einem Multi-Forest.

Hardening Bastion Forest > PAPA und MAMAAlle Rechner in einem Bastion Forest müssen mit Zertikat arbeiten, um zu verhindern, dass Computerpasswort und Benutzerpasswort für die Verschlüsselung der Kerberos Tickets eingesetzt werden. Obwohl schon lang in PKINIT festgelegt, kann sich erst Windows 10 mit „Kerberos Client Auth“ an 2016 KDC authentifizieren.Zertifizierte Windows 10 Enterprise PAWs müssen mindestens Credential Guard aktiviert haben.Das „Kerberos Client Auth“ Zertifikat wird manuell beantragt, sodass der Private Key immer im geschützen LSA-Container von Credentail Guard gespeichert wird.MAMA (Machine AMA) sorgt dafür, dass nur PAWs mit Computerzertifikat in die gewünschte Computergruppe z.B. PAW-MAMA automatisch aufgenommen werden.Authentication Policy und Kerberos Compound Authentication sorgen dafür, dass Admins nur mit SCAMA an zertifizierten PAWs von PAW-MAMA arbeiten dürfen.

Kerberos Authentication im Multi-Forest mit One-Way PIM-Trust (Privileged Identity Management).(Infomodul)PIM-Trust und Cross-Forest Referal TGTOhne den PIM-Trust eines 2016/2019 Forests ist es nicht möglich, ein msDS-ShadowPrincipal vom Trusting in ein Trusted Bastion Forest zu spiegeln.Durch die Object-SID vom Trusting Forest im Spiegelobjekt ist es möglich, die Identität von diesem für die Administration des Trusting Forests einzusetzen.Troubleshooting PIM-Trust

Bastion Forest Hardening II – PKINIT, FAST Compound Authetication (Infomodul)

• Kerberos Armoring
• FAST (Flexible Authentication Secure Tunneling)
• PKINIT Freshness
• Kerberos Claims
• PAPA + MAMA

Azure Active Directory Connect (AAD Connect)

• Synchronization Service Manager
• Synchronization Rules Editor
• Staging Server

Hybrid Authentication: PTA (Pass-Through Authentication), PHS (Password-Hash Sync), sSSO (Seamless)

• Hybrid Authentication über die Azure Cloud
• Seamless Single Sign-On
• Pass-Through Authentication
• Password Hash Synchronization

Device Identities & Device Registration in Azure AD

• Azure AD Joined mit Modern Managed
• Hybrid Azure AD Joined mit Mixed Managed

Passwordless Authentication: Windows Hello for Business (WHfB) Cert Trust

• Windows Hello for Business Certificate Trust
• NDES mit Intune Certificate Connector
• Azure Web Application Proxy mit Azure Application Proxy Connector

Passwordless Authentication: FIDO2 Security Key – Zugriff auf Azure und On-Premises

• FIDO2 Security Key
• Windows 10 2004 Logon mit FIDO2
• Azure AD Kerberos Server

Passwordless Authentication: Mutifactor Unlock – WHfB und FIDO2 Key

• Multifactor Unlock
• Windows Hello for Business Biometrie / PIN + FIDO2 Security Key

Passwordless Authentication: Hello SCAMA – WHfB + SCAMA

• WHfB Certeificate Trust mit SCAMA Funktionalität
• WAC Verwaltung mit Hello SCAMA

Windows Hello for Business (WHfB) + Jump Server + Azure Application Proxy + Conditional Access

• Konfigurieren der Application Proxy und Proxy Connector
• Konfigurieren der Enterprise CloudApp
• Intune Compliance Policy für Hybrid AAD Joined Windows 10
• AAD Conditional Access
• Test: Windows Hello for Business, HTTPS-Verbindung mit der CloudApp, Zugriff auf das internen Windows Admin Center (Jump Server)

Remote Desktop Services Gateway (RDS) + Contional Access + MFA (Demo)

• Einrichten einer Remote Desktop Services Infrastruktur inkl. Gateway Server
• Konfiguration einer Azure Enterprise Application für RDS
• Konfiguration von Conditional Access mit Multi-Factor Authentication
• Sicherer HTTPS Zugriff auf On-premises Maschinen über das RDS Gateway

Always-On VPN + PAW2Go + SCAMA im HomeOffice (Demo)

• Konfigurieren von Always-On VPN (RRAS und NPS)
• Einrichten eines VPN User Profiles
• VPN Device Force Tunnel mit IKEv2 Device Certificate
• SCAMA im Home-Office
• Konfiguration der PAW2Go

Das Seminar richtet besonders an die Enterprise und Domain Administratoren sowie IT-Sicherheitspersonal, die eine hochsichere AD Infrastruktur nach dem ESAE Tier-Modell und unserem ASAI-Konzept (Advanced Security AD Infrastructure)  aufbauen möchten. ASAI-2 erweitert die Sicherheit und die Reichweite von ASAI-1.Langjährige Erfahrung mit Active Directory und Besuch des Intensivkurses ASAI-1 werden empfohlen.