Pro koho je kurz určen
Jedná se o pokročilé školení pro zájemce o vnitřnosti a detaily chování
ověřovacích protokolů Kerberos, PKINIT, NTLM a Schannel postavených nad Active
Directory ve složitých prostředích s Windows Server 2012 R2 a staršími
systémy.
Kurz obsahuje kompletní tématiku AD od verzí Windows 2000 až po
Windows 2012 R2.
Účastníci si vyzkouší sami prakticky mnoho nestandardních a
chybových situací a jejich vlastnoručního řešení a využití low-level
nástrojů.
Kurz zahrnuje praktické ukázky konfigurace ověřování a řešení
potíží v aplikacích jako je System Center, Exchange, SharePoint, SQL Server,
Reporting Services, TMG a UAG.
Co vás na kurzu naučíme
Porozumět do nejmenšího detailu všem autentizačním metodám dostupným ve
Windows Server 2012 a starších systémech
Efektivně řešit potíže s ověřováním
v libovolně komplikovaném prostředí multi-forest multi-domain trustů a aplikací
jako je SQL Server, Reporting Services, System Center, Exchange, SharePoint, UAG
a další
Předpokládané vstupní znalosti
Znalosti v rozsahu kurzů uvedených v sekcích Předchozí kurzy
a Související kurzy
Dobrá znalost Active Directory a Group
Policy
Dobrá znalost technologií TCP/IP a DNS
Metody výuky
Odborný výklad s praktickými ukázkami, samostatná cvičení na virtuálních
počítačích na platformě Hyper-V
Samostatná praktická cvičení zabírají obvykle
alespoň třetinu času stráveného na kurzu
Studijní materiály
Vlastní studijní materiály společnosti GOPAS v elektronické, nebo
tištěné formě
Osnova kurzu
Úvod do bezpečnostní a autentizační infrastruktury Windows a
LSASS
Ukládání hesel, heší, přihlašování čipovou kartou, cache a
Single-Sign-On (SSO)
Lokální vs. doménové účty, útoky na hesla a jejich
šifrované komunikace přes síť
Princip počítačových účtů, účty SYSTEM, Network
Service, Local Service, NT SERVICE, IISAppPool
Ověřovací protokoly Basic,
Kerberos, LM, NTLM, NTLMv2, Schannel a EAP/TLS a PKINIT
Optimalizace
zabezpečení pro NTLM a Kerberos, implementace AES, omezení NTLM
Kerberos SPN,
použití a definice pro DNS aliasy a servisní účty, managed service
accounts
Synchronizace času
Privilege Attribute Certificate (PAC),
členství ve skupinách a jejich omezení, velikosti tiketů a access
tokenu
Kerberos unconstrained delegation, constrained delegation, protocol
transition
Podmínky pro delegaci, řešení potíží delegace
Použití a
nastavení Kerberos ověřování a delegace pro služby Remote Desktop Services a
Terminal Services, SQL Server, SharePoint, System Center, Exchange a
UAG
Porovnání verzí operačních systémů a jejich podpory a schopností týkajích
se ověřování
Active Directory atributy uživatelských účtů týkající se
ověřování
Auditování a řešení potíží a bezpečnostních
incidentů
Příhlašování certifikáty na SSL/TLS služby -
Schannel
Přihlašování čipovou kartou (smart card) - PKINIT
Zásady použití
a vydávání čipových karet (smart card)
Optimalizace ověřování v
komplikovaných prostředí multiforest multidomain vztahů důvěry
Závislost
ověřování na parametrech síťových linek
Novinky ve Windows 2012 R2 jako je
například Dynamic Access Control (DAC)
Příprava k certifikačním zkouškám
U certifikačních zkoušek Microsoft platí, že kromě certifikací MCM, není
účast na oficiálním MOC kurzu nutnou podmínkou pro složení zkoušky.
Oficiální
kurzy MOC společnosti Microsoft i naše vlastní kurzy GOC jsou vhodnou
součástí přípravy na certifikační zkoušky Microsoft jako jsou MTA, MCP, MCSA,
MCSE nebo MCM.
Primárním cílem kurzu ovšem není přímo příprava na
certifikační zkoušky, ale zvládnutí teoretických principů a osvojení si
praktických dovedností nutných k efektivní práci s daným produktem.
MOC kurzy
obvykle pokrývají téměř všechny oblasti požadované u odpovídajících
certifikačních zkoušek. Jejich probrání na kurzu ale nebývá dán vždy přesně
stejný čas a důraz, jako vyžaduje certifikační zkouška.
Jako další přípravu k
certifikačním zkouškám lze využít například knihy od MS Press (tzv. Self-paced
Training Kit) i elektronický self-test software.