Scroll Top

Weiterbildung für Hybrid-Cloud

Secure Hybrid Authentication

Zielgruppe

  • Enterprise Administratoren
  • Cloud Administratoren
  • Identity Manager

Dauer

Die Kursdauer beträgt 5 Tage.

Level

Dieses Seminar hat eine hohe Komplexität. Erfahrungen in Active Directory und EntraID werden vorausgesetzt

Inklusiv

Teilnahme bei uns vor Ort in Ulm: Mittagessen, Getränke, Gebäck, Übernahme der Parkengebühren

Generell (persönlich übergeben oder per Paketdienst): Schreibblock, Kugelschreiber, Tasche, IQunit Zertifikat, Yubico YubiKey 5c NFC und NFC Reader (USB-A)

Buchung

Telefonisch: +49 731 1848699-0 oder
E-Mail: info@iqunit.com oder
Buchung Online

Preis

4.990,00€ exkl.MwSt.
Per Rechnung nach Kurs

Termine

+ KW 44: 27.10.2025 – 31.10.2025
+ KW 16: 13.04.2026 – 17.04.2026

An den Terminen ist die Teilnahme in Präsenz (in unserem Schulungsraum in Ulm) oder online möglich

Sprache

Dieser Kurs (Präsentation und Unterlagen) ist auf Deutsch und auf Englisch verfügbar.

Details hierzu gerne bei Anfrage, sprechen Sie uns an!

⇑Nach oben⇑

⇓Zur Buchung⇓

Allgemeine Kursinformationen

Inhalt der Schulung Secure Hybrid Authentication (SHA)

Der Kurs Secure Hybrid Authentication (SHA) widmet sich den aktuellen Anforderungen im Bereich der Authentifizierung.
Einerseit im On-Premises-Bereich und andererseits im Cloud-Bereich. Secure Hybrid Authentication focussiert hierbei die Authentifzierung im Active Directory (On-Premises) per Smart Card Logon und der Authentifizierung im bereich Azure / Entra ID per FIDO2 bzw. Passkeys.

Die Zeiten, in denen die Kombination aus Benutzername und Passwort ausreichten sich zu authentifzieren, sind definitiv vorbei. Es muss ein Schwerpunkt im Bereich der Authentifzierung gesetzt werden, der gleich mehreren Punkten gerecht wird:

  • Passwordless: es gibt keinen Kennwörter mehr
  • Multi-Faktor-Authentifizierung (MFA): Wissen und Besitz
  • Phishing resistant: Täuschungsversuche zwecklos
  • Hybrid enabled: beiden Welten gerecht werden

Passwordless entbindet die Anwender und die Administration von der Verwendung von Kennwörtern, sowie von der Unsitte der erzwungenen Kennwortänderung. MFA bietet ein hohes Maß an Sicherheit bei der Authentifizierung, insbesondere wenn diese phishing-resistant ist. Das Ganze wird dann über ein physikalisches Token (Yubico YubiKey 5(c) NFC) dargestellt. Dieser YubiKey zusammen mit einem NFC-Reader (ACR1252U-USB) wird nicht nur für diesen Workshop von uns gestellt, dieser YubiKey zusammen mit dem NFC-Reader sind nach dem Workshop Ihr persönliches MFA-Kit, für den endgültigen persönlichen Verbleib.

Nach diesem Workshop sind Sie in der Lage sich im Bereich der Authentifzierung sich so zu positionieren, dass Sie Anforderungen wie NIS-2, KRITIS und DORA mit fliegenden Fahnen hinter sich lassen können. Neue Cyber-Security-Versicherungen werden in dem Punkt Authentifzierung spielend erfüllt und tragen zur Absicherung des Unternehmenszwecks bei.
Ausnahmsweise werden durch diesen Workshop die Bequemlichkeit und die Sicherheit der Authentifizierung gesteigert.

⇑Nach oben⇑

⇓Zur Buchung⇓

DER EXPERTENKURS BEHANDELT FOLGENDE THEMEN:

Agenda

  1. On-Premises: Grundlagen der Authentifizierung (NTLM und Kerberos V5)
  2. On-Premises: Active Directory Schwachstellen
  3. On-Premises: Basic Security – Active Directory
  4. On-Premises: Advanced Security – Active Directory
  5. On-Premises: Secure On-Premises Access – Überblick
  6. On-Premises: PAW vs PAS
  7. On-Premises: Windows Admin Center (WAC) und WAC Delegation (RBKCD)
  8. On-Premises: RD-Gateway, RD-Broker, RD-Session-Host (Published App) und  secured JumpServer
  9. On-Premises: Secure Communication: IPSec – Point-to-Point; Point-to-Group
  10. On-Premises: Credential Guard und Remote Credential Guard
  11. On-Premises: Smart Card Logon
  12. Cloud: Entra ID Overview
  13. Cloud: Entra ID Role Model
  14. Cloud: Entra ID Hierarchiemodell
  15. Cloud: Sicherungskonzepte für Global Administrators (GA) – Überblick
  16. Cloud: Multi-Faktor-Authentifizierung (MFA)
  17. Cloud: FIDO2 Security Keys / Passwordless Auth
  18. Cloud: Break Glass Account
  19. Cloud: Conditional Access
  20. Cloud: Dedicated Admin Accounts
  21. Cloud: Secure Hybrid Access

⇑Nach oben⇑

⇓Zur Buchung⇓

IT-Schulungen IQunit IT GmbH Bild 1

Schnellübersicht

Die Themen des Secure Hybird Authentication Kurses sind wie folgt:

  • Grundlagen der Authentifizierung (NTLM und Kerberos V5): Authentifizierung von ganz alt hin zu neu.
  • Active Directory Schwachstellen: immer noch viele, viele offene Baustellen.
  • Basic Security – Active Directory: absolutes „must have„, geht nicht ohne
  • Advanced Security – Active Directory: irgendwo zwischen „must have“ und „nice to have
  • Secure On-Premises Access – Überblick: wo stehe ich On-Premises in puncto Sicherheit?
  • PAW vs PAS: wie greife ich zu?
  • Windows Admin Center (WAC) und WAC Delegation (RBKCD): weg von interactive und remote interactive logon!
  • RD-Gateway, RD-Broker, RD-Session-Host (Published App) und  secured JumpServer: wenn remote interactive logon, dann secure remote interactive logon!
  • Secure Communication: IPSec – Point-to-Point; Point-to-Group: wer darf wodurch wohin?
  • Credential Guard und Remote Credential Guard: „must have“, aber bitte richtig herum.
  • Smart Card Logon: absolut „must have„, bitte ein zweiter Faktor On-Premises
  • Entra ID Überblick: der Blick in die Wolke
  • Entra ID Role Model: Aufgaben und Berechtigungen im Entra ID
  • Entra ID Hierarchiemodell: von Superman hin zu Maus
  • Sicherungskonzepte für Global Administrators (GA) – Überblick: wie kann ich den Zugriff absichern?
  • Multi-Faktor-Authentifizierung (MFA) im EntraID: absolut „must have„, dieser zweite Faktor wird von Microsoft erzwungen, wenn man Global Admin ist
  • FIDO2 Security Keys / Passwordless Auth: „nice to have“, PIN statt Passwort.
  • Break Glass Account: wenn alle Stricke reißen…
  • Conditional Access: Zugriff ja, aber nur unter folgenden Bedinungen.
  • Dedicated Admin Accounts: personalisierte Konten zur Nachvollziehbarkeit
  • Secure Hybrid Access: wir fügen alles zu einem großen Bild zusammen


Detaillierte Beschreibung

Dieser Workshop fusst auf einem On-Premises AD und einem bereits registrierten und synchronisierten Tenant bei Microsoft in EntraID (Azure nutzt Entra ID – aber Entra ID ist mehr als Azure). Wie so häufig finden sich im Active Directory und bei der Synchronisierung zu Entra ID gute Ansätze eine Optimierung für einen sicheren, resilienten und belastbaren Betrieb durchzuführen.

Zu Beginn werden die verschiedenen On-Premises Authentifzierungs-Protokolle untersucht. Die Praxis hat gezeigt, dass LM und NTLMv1 in der Regel weniger verwendet werden. Jedoch ist NTLMv2 mittlerweile schwer angeschlagen und sollte zeitnah abgeschaltet werden. Wir untersuchen, was die genauen Unterschiede von NTLMv1 zu v2 sind und warum die beiden Protokolle nicht mehr verwendet werden sollten. Somit braucht es eine Alternative On-Premises für die Authentifzierung und das ist das Kerberos V5-Protokoll. Wie dieses funktioniert und warum das Protokoll eben (noch) nicht dem Untergang geweiht ist, erfahren Sie in diesem Workshop. Kerberos V5 wird demnächst LM, NTLMv1 und NTLMv2 vollständig ablösen; in der Domäne und in der Arbeitsgruppe.

Leider ist es immer noch möglich die On-Premises-Authentifzierung auszuhebeln, in dem auf die bekannten Schwachstellen die Pass-the-Hash und Pass-the-Ticket gesetzt wird. Das sind aber leider nicht die einzigen Schwachstellen im On-Premises Active Directory. Kerberoasting, Skeleton-Keys, DCShadow und Offline-Attack machen das Leben mit einem Active Directory nicht leichter.

Auf die oben genannten Probleme werden im Rahmen des Workshops genaue Lösungen erarbeitet. Dazu zählen Maßnahmen wie die RC4-Verschlüsselung bei Kerberos abzuschalten, Domain Controller mit Bitlocker zu verschlüsseln, LM und NTLM(v1 und v2) abzuschalten, Windows LAPS für das Directory Service Restore Mode-Konto zu aktivieren, administrative Konten zu verbergen sowie die Verwendung von gMSA und dMSA vorzubereiten, zu implementieren und umzusetzen.

Strukturelle Veränderungen im Active Directory ermöglichen es eine „veraltete“ ESAE-Struktur zu implementieren und ein Tiering zu erzwingen. Neue OU-Strukturen, neue Policies, neue Rollenmodelle und neue Delegierungen erlauben es den Angriffsvektor zu schmälern, zeitlich (PIM durch das PAM-Modul im Active Directory) einzugrenzen und in weiten Teilen so klein zu gestalten, dass die Möglichkeit einer Kompromittierung sehr gering wird.
Gestärkt durch den Credential Guard (CG), Remote Credential Guard (RDG) und Remote Guard bleibt Kerberos V5 mit Single Sign-On die treibende Kraft der passwortlosen Authentifizierung. Die passwortlose Authentifizierung wird durch Smart Card Logon erreicht, für die administrativen Konten aber mit Authentication Mechanism Assurance (AMA) zusammen. Durch AMA wird die Privilegierung an die Art der Authentifizierung On-Premises gebunden. Durch diesen Mechanismus ist selbst eine Kompromittierung eines administrativen Kontos in der Risikobeurteilung als „gering“ zu bezeichnen.

Eine ausgefeilte Bereitstellung von Geräten rundet das Bild der On-Premises-Authentifizierung ab. Privileged Administrative Workstations (PAWs) werden gegenüber Privileged Administrative Servers (PASs) vergleichen. Die PAW deckt den On-Premises-Bereich ab, ein PAS deckt den Cloud-Bereich ab. Jedoch muss sichergestellt sein, dass die Zugriffe auf diese Devices in einem sicheren Kontext erfolgen. Wieder bildet unser Kerberos V5 die Grundlage, die hier mit IPSec zu einem „conditional access“ On-Premises führt. Gerät, Gruppenmitgliedschaft, Art der Authentifizierung und Richtung des Zugriffes geben die Grenzen einer adiministrativen Bewegung vor.

Das Entra ID wird in unserem Workshop durch das On-Premises Active Directory provisioniert.

Doch hier entstehen einige Fragen:

  • Was gilt es hier zu beachten?
  • Wer darf abgeglichen werden, wer nicht? Wie steuere ich das, wer abgeglichen wird?
  • Welche Arten der Authentifizierung gegenüber Entra ID habe ich eigentlich?
  • Was ist mit dem MSOL_*-Konto? Ist das gefährlich? Muss das Kennwort geändert werden?
  • All jene Punkte müssen geklärt werden, bevor man sich mit dem EntraID-Rollenmodell auseinandersetzen kann.

Das Rollenmodell von Microsoft Entra ID definiert, welche Aufgaben und Berechtigungen ein Benutzer oder Administrator innerhalb des Verzeichnisses ausführen darf. Es basiert auf vordefinierten Rollen wie Global Administrator (GA), User Administrator oder Security Administrator, die jeweils bestimmte Verantwortlichkeiten und Zugriffsmöglichkeiten mitbringen. Die Zuweisung erfolgt unabhängig von Gruppen oder Organisationsstrukturen und kann durch Privileged Identity Management (PIM) zusätzlich zeitlich begrenzt oder genehmigungspflichtig gestaltet werden. So ermöglicht das Rollenmodell eine sichere und nachvollziehbare Rechtevergabe, angepasst an individuelle Aufgaben und Anforderungen.

Microsoft Entra ID präsentiert ein rollenbasiertes Berechtigungsmodell, mit über 60 vordefinierten Rollen, um administrative Aufgaben zu delegieren. Die zentrale Rolle ist der Global Administrator (GA), der uneingeschränkten Zugriff auf alle Funktionen und Rollen hat. Diese Rolle sollte nur sehr wenigen, vertrauenswürdigen Personen zugewiesen werden. Ein Privileged Role Administrator weist Administratorrollen zu und zusammen mit Privileged Identity Management (PIM) werden diese zeitlich begrenzt. Perfekt für kontrollierte und nachvollziehbare Berechtigungen. Für alltägliche Benutzer- und Gruppenaufgaben gibt es den User Administrator, während der Security Administrator sicherheitsrelevante Einstellungen wie Multifaktor-Authentifizierung (MFA), Conditional Access und Bedrohungswarnungen verwaltet. Der Application Administrator übernimmt die Verwaltung von Apps und App-Registrierungen. Ergänzend dazu kümmert sich der Authentication Administrator um Authentifizierungsmethoden wie FIDO2, Passwortzurücksetzung oder SMS-MFA.

Die Sicherungskonzepte für globale Administratoren sind der Anker der EntraID-Sicherheit. Hier wird das Zentrum der Cloud-Macht gegen unbefugte Zugriffe wirksam, belastbar und nachhaltig gesichert.

  • MFA: absolut unverzichtbare Komponente, mit denen die Sicherheit gewährleistet wird. Vorzugsweise durch einen YubiKey wird ein FIDO2 Token auf einem externen Medium phishing-resistant abgelegt.
  • FIDO2 mit Security-Key: die derzeit beste Realisierung von MFA. Hier im Workshop mit Yubico YubiKey 5(c) NFC
  • Break Glas-Konten: Das Lindblatt auf Siegfrieds (Cloud)-Rücken. Im Notfall müssen die funkionieren und zwar, zwangsweise, mit MFA! Das wird spannend…
  • Conditional Access: Regeln für den Zugriff – wann, wie, wo, wodurch und womit. Da ist man schneller draußen als drin.
  • Privileged Identity Management (PIM): das Ganze aber nur für kurze Zeit – Just in time administration (JITA)
  • Decicated Admin Accounts: Benutzergebundene administrative Konten, welche nur im EntraID existieren; das wird der Schlüssel zu Nachvollziehbarkeit.
  • Logging und Überwachung: wer war wann wo womit und wodurch?
  • Rollenminimierung: 2 bis 4 Mitglieder in den GA, wobei zwei davon Break-Glas sind.
  • Passwortschutz: schwache Kennwörter schon bei der Ablage unterbinden; wobei das Ziel password-less sein muss.

Die Zusammenführung der beiden Welten ist dann abschließend die Königsdisziplin. Vorgenehmigte (physische) Geräte bilden das Rückgrad des Zugriff, die Schnittstelle vom Menschen zur On-Premises-Welt und zur Cloud-Technologie. Hier im Workshop schwindet der Punkt der Physik und wird durch Virtualität ausgeglichen, da Sie natürlich remote oder vor Ort am Kurs teilnehmen können. In der Praxis ist dieses nicht zu empfehlen. Es muss auf physikalische Hardware gesetzt werden, die den Compliance-Regeln vom Intune standt hält. Dieses letzte kleine Mosaiksteinchen vollendet das Bild des sicheren, belastbaren und einfachen Zugriff auf die On-Premises-Welt, sowie auf das EntraID-Biotop.

Termine:

+ KW 44: 27.10.2025 – 31.10.2025
+ KW 16: 13.04.2026 – 17.04.2026

– jetzt buchen

⇑Nach oben⇑

    Kursameldung

    Firmendaten

    Personen

    Ort und Termin

    Wunschort des Kurses

    Wunschtermin des Kurses