Studieguide WH (1) PDF

Summary

This document is a study guide on Windows security. It covers topics such as global catalog servers, RODCs, partitions in Active Directory, and differences between domains and organizational units. It also explains concepts like schemas, domain controllers in Windows networks, Active Directory itself, Group Policy Objects, hashing, NTLM and Kerberos, Windows hardening, patch management, local system accounts, network service accounts, Managed Service Accounts, and PowerShell.

Full Transcript

1. Global katalogserver
Definition: En global katalogserver är en domänkontrollant som är värd för den globala
katalogen, en partiell, skrivskyddad kopia av alla objekt i en skog med flera domäner. Funktion:
Den påskyndar sökningar efter objekt som kan lagras på domänkontrollanter i andra domäner i
skogen.

2. Skrivskyddad domänkontrollant (RODC)
Definition: En RODC är en speciell, skrivskyddad installation av Active Directory Domain Services
(AD DS). Användning: Vanlig på avdelningskontor där fysisk säkerhet inte är optimal, IT-
supporten är mindre avancerad eller verksamhetsspecifika program måste köras på en
domänkontrollant.

3. Partition i AD DS-databasen
Definition: En partition, eller namngivningskontext, är en del av AD DS-databasen. Typer av
partitioner:

Schemapartition: Innehåller en kopia av Active Directory-schemat.
Konfigurationspartition: Innehåller konfigurationsobjekten för skogen.
Domänpartition: Innehåller användare, datorer, grupper och andra objekt som är
specifika för domänen.

4. Skillnad mellan en domän och en organisationsenhet (OU)
Domän: En logisk administrativ container för objekt som användare och datorer. Den mappar till
en specifik partition och kan ha överordnade och underordnade relationer till andra
domäner. Organisationsenhet (OU): Ett containerobjekt för användare, grupper och datorer som
tillhandahåller ett ramverk för delegering av administrativa rättigheter och administration genom
att länka grupprincipobjekt (GPO).

5. Schema i AD DS
Definition: Ett schema är en uppsättning definitioner av de objekttyper och attribut som används
för att definiera de objekt som skapats i AD DS. Innehåll: Schemat specificerar vilka typer av
objekt som kan lagras och de attribut som är kopplade till dessa objekt.

6. Domänkontrollant i ett Windows-baserat nätverk
Funktion: Domänkontrollanter autentiserar och auktoriserar användare och datorer i ett
Windows-baserat nätverk. De upprätthåller en kopia av Active Directory-databasen och svarar på
förfrågningar om användar- och resursinformation.

7. Active Directory (AD)
Definition: En katalogtjänst och identitetshanteringssystem utvecklat av Microsoft. Funktioner:

Centraliserad hantering av användare och resurser.
Autentisering och auktorisering.
Implementering av gruppolicyer.

Page 1 of 6
8. Gruppolicyobjekt (GPO)
Definition: GPO är en funktion i Active Directory som gör det möjligt för administratörer att
hantera och konfigurera inställningar för operativsystem, applikationer och användarmiljöer över
ett nätverk. Nyckelkomponenter:

Omfattning: GPO:er kan kopplas till webbplatser, domäner eller OU:er.
Inställningar: Användarkonfiguration och datorinställning.
Ärftlighet: GPO:er följer en hierarkisk struktur där inställningar kan ärvas.
Prioritet: Ordningen av prioritet avgör vilka inställningar som träder i kraft.

9. Hashing
Funktion: Hashing omvandlar data av valfri storlek till en fast storlek av tecken, vanligtvis en
hashkod. Vikt: Används för att säkerställa dataintegritet och autentisering.

10. Skillnad mellan NTLM och Kerberos
NTLM:

Användning: Autentisering i Windows-system.
Säkerhet: Har kända sårbarheter.

Kerberos:

Användning: Primär autentiseringsmetod i Windows-domäner.
Säkerhet: Mer säker än NTLM och används för att skydda kommunikationen mellan
klienter och servrar.

11. Windows-härdning
Definition: Stärka säkerheten i Windows-operativsystemet genom att minska sårbarheter och
skydda mot potentiella hot. Vikt: Kritisk del av IT-säkerhet för att skydda både användardata och
systemresurser.

12. Patch management
Definition: Processen att identifiera, skaffa, installera och verifiera patchar för programvara och
system. Vikt: Skyddar mot sårbarheter, säkerställer efterlevnad och förbättrar systemprestanda.

13. Lokalt systemkonto
Definition: Ett inbyggt konto i Windows-operativsystemet med omfattande
behörigheter. Behörigheter: Fullständig åtkomst till systemresurser.

14. Lokalt tjänstekonto
Definition: Ett inbyggt konto med begränsade behörigheter på den lokala datorn. Användning:
För tjänster som inte kräver omfattande systembehörigheter.

Page 2 of 6
15. Nätverkstjänstekonto
Definition: Ett fördefinierat lokalt konto med begränsade behörigheter men möjlighet att
autentisera sig på nätverket. Användningsområden: För tjänster som behöver nätverksåtkomst
men inte omfattande lokala behörigheter.

16. Managed Service Accounts (MSA)
Definition: Användarkonton designade för att förenkla hanteringen av tjänstekonton. Fördelar:
Automatiserad lösenordshantering och förenklad SPN-administration.

17. PowerShell
Definition: Ett uppgiftshanterings- och konfigurationshanteringsramverk från
Microsoft. Grundläggande kommandon:

Get-Help: Få hjälp om cmdlets.
Get-Command: Lista alla tillgängliga cmdlets.
Get-Process: Visa alla körande processer.

19. CIS Benchmarks
Definition: Säkerhetskonfigurationsrekommendationer utvecklade av Center for Internet
Security. Vikt: Hjälper organisationer att säkra sina system genom att tillhandahålla detaljerade
konfigurationsguider.

20. Riskhantering
Definition: Processen att identifiera, bedöma och hantera risker. Steg:

Identifiera risker.
Värdera risker.
Planera åtgärder.
Förebygga risker.
Hantera skador.

21. Ticket Granting Ticket (TGT) i Kerberos
Definition: En biljett som utfärdas av Authentication Server (AS) och används för att begära
servicebiljetter från Ticket Granting Server (TGS).

22. Processen för att få en servicebiljett i Kerberos
Steg:

1. Användaren skickar TGT till TGS.
2. TGS verifierar TGT och utfärdar en servicebiljett.
3. Användaren skickar servicebiljetten till den specifika tjänsten.

23. Distinguished Name (DN) i LDAP
Definition: En sträng som beskriver postens plats i katalogens hierarki.

Page 3 of 6
24. Skillnad mellan LDAPv2 och LDAPv3
LDAPv2: Tidigare version med begränsat stöd för säkerhet. LDAPv3: Nuvarande version med
stöd för SASL, TLS, utökningar och kontroller.

25. Directory Information Tree (DIT) i LDAP
Definition: Den hierarkiska strukturen som används av LDAP för att organisera och lagra
information.

26. Key Distribution Center (KDC) i Kerberos
Definition: En central komponent som hanterar autentisering och biljetter. Funktion: Består av
Authentication Server (AS) och Ticket Granting Server (TGS).

27. Servicebiljett i Kerberos
Definition: En biljett som utfärdas av TGS och används för att få tillgång till specifika tjänster.

28. Access Control List (ACL) i LDAP
Definition: En lista som definierar vilka användare eller grupper som har behörighet att utföra
specifika operationer på katalogposter.

29. Bind-operation i LDAP
Definition: Används för att autentisera en klient mot LDAP-servern.

30. Ticket Granting Server (TGS) i Kerberos

Definition: En del av Key Distribution Center (KDC) som utfärdar biljetter för
åtkomst till tjänster. Funktion: När en användare har en Ticket Granting Ticket
(TGT) och vill få tillgång till en specifik tjänst, skickar de en begäran till TGS
tillsammans med sin TGT. TGS verifierar TGT och utfärdar en servicebiljett som
användaren kan använda för att få tillgång till den önskade tjänsten.

31. Zero Trust Security (ZTS)

Definition: En säkerhetsmodell som innebär att ingen enhet eller användare är
betrodd per automatik, även om de är inom nätverket. All åtkomst måste
verifieras och auktoriseras kontinuerligt. Principer:

Verifiera explicita: All åtkomst till resurser kräver autentisering och
auktorisering.

Minsta privilegium: Användare och enheter får endast de behörigheter
som är nödvändiga för att utföra sina uppgifter.

Page 4 of 6
 Anta att nätverket är komprometterat: Behandla alla
nätverksförfrågningar som potentiellt skadliga och inspektera dem
noggrant.

32. Data Loss Prevention (DLP)

Definition: En uppsättning verktyg och processer som används för att
säkerställa att känslig data inte lämnar organisationen på ett otillåtet
sätt. Funktioner:

Identifiering av känslig data: Användning av mönsterigenkänning och
klassificering för att identifiera känslig information.

Övervakning och kontroll: Övervaka dataflöden och tillämpa policyer för
att förhindra att känslig data skickas utanför organisationen.

Incidenthantering: Automatisera svar på policyöverträdelser, såsom att
blockera överföringar eller varna administratörer.

33. Endpoint Detection and Response (EDR)

Definition: En säkerhetslösning som övervakar och svarar på hot mot
slutpunkter (datorer, mobila enheter, servrar) i realtid. Funktioner:

Kontinuerlig övervakning: Samla in och analysera data från slutpunkter
för att upptäcka misstänkta aktiviteter och hot.

Hotdetektering: Använda avancerade analysmetoder och maskininlärning
för att identifiera och klassificera hot.

Incidentrespons: Automatisera svar på hot genom att isolera infekterade
enheter, ta bort skadlig programvara och återställa system till ett säkert
tillstånd.

34. Distinguished Name (DN) i LDAP

Definition: En sträng som beskriver postens plats i katalogens hierarki. DN
består av en serie attributvärden som specificerar postens exakta position i
Directory Information Tree (DIT).

35. Skillnad mellan LDAPv2 och LDAPv3

LDAPv2:

Tidigare version med begränsat stöd för säkerhet och
autentisering. LDAPv3:

Page 5 of 6
 Nuvarande version med stöd för SASL (Simple Authentication and
Security Layer), TLS (Transport Layer Security), utökningar och kontroller,
internationell teckenstöd och schema upptäckt.

36. Directory Information Tree (DIT) i LDAP

Definition: Den hierarkiska strukturen som används av LDAP för att organisera
och lagra information. DIT är uppbyggd som ett träd, där varje nod
representerar en post (entry) i katalogen.

37. Key Distribution Center (KDC) i Kerberos

Definition: En central komponent i Kerberos-protokollet som hanterar
autentisering och biljetter. Funktion: Består av Authentication Server (AS) och
Ticket Granting Server (TGS). KDC använder Active Directory som sin
kontodatabas och den globala katalogen för att dirigera hänvisningar till KDC:er
i andra domäner.

38. Servicebiljett i Kerberos

Definition: En biljett som utfärdas av Ticket Granting Server (TGS) och används
för att få tillgång till specifika tjänster. Servicebiljetten är krypterad med en
nyckel som endast den specifika tjänsten kan dekryptera.

39. Access Control List (ACL) i LDAP

Definition: En lista som definierar vilka användare eller grupper som har
behörighet att utföra specifika operationer på katalogposter. ACLs kan vara
mycket detaljerade och specificera behörigheter på attributnivå.

40. Bind-operation i LDAP

Definition: Används för att autentisera en klient mot LDAP-servern. Det finns
tre typer av bind-operationer:

Simple Bind: Skickar användarnamn och lösenord i klartext (inte
rekommenderat utan SSL/TLS).

SASL Bind: Använder Simple Authentication and Security Layer (SASL) för
att stödja olika autentiseringsmetoder, inklusive Kerberos.

Anonymous Bind: Används när ingen autentisering krävs.

Page 6 of 6