Beschreibung
Angriffsziel lokales Active Directory: effiziente Absicherung
Ziel
Active Directory (AD) ist ein zentraler Bestandteil vieler Unternehmensnetze und beliebtes Ziel von Ransomware und anderen Angriffen. In diesem Workshop lernen Sie, wie Angreifer vorgehen und wie Sie ihre AD-Umgebung effektiv absichern.
Der Workshop beleuchtet:
• Angriffstechniken wie Pass the Hash, Delegierungsschwachstellen und Fehlkonfigurationen von Berechtigungen auf Objekten in einer Domäne.
• Möglichkeiten zur Absicherung ihrer AD-Umgebung, indem Sie Fehlkonfigurationen und Schwachstellen finden und beheben. Dabei helfen offensive Werkzeuge wie PowerView, und Bloodhound sowie Audit-Tools wie PingCastle.
• Härtungsmaßnahmen wie eine differenzierte Rechtevergabe sowie die Einrichtung verschiedener Verwaltungsebenen.
• wie Sie Angriffe auf ihre On-Premise-AD-Umgebung durch Logging und Monitoring oder den gezielten Einsatz von Deception Technology Software erkennen.
Aus Zeit- und Effizienzgründen führen Sie in diesem Intensivworkshop keine Hands-on-Übungen durch. Der Referent gibt Empfehlungen und stellt Unterlagen bereit, auf deren Grundlage Sie im Nachgang eigenständig üben können.
Kommende Starttermine
Inhalte / Module
• Grundlagen
- Objekte in einem AD, darunter Benutzer, Computer, Gruppen
- Authentifizierungsprotokolle: Kerberos und Net-NTLM
- Weitere im AD wichtige Protokolle wie DHCP, DNS, NetBIOS, LDAP und SMB
- Basis für Zugriffsentscheidungen: Access Token, Security Descriptor und Zugriffskontrolllisten (ACLs)
- Zugangsdaten: Passwörter, NT-Hashes, AES-Schlüssel, Tickets
- Ziele und Denkweise von Angreifern bei gezielten Angriffen oder Ransomware
• Wie Angreifer vorgehen: Angriffe durchführen
- Informationssammlung im AD
- Typische Fehlkonfigurationen
- Weitere privilegierte Gruppen neben Domänenadmins
- Password Spraying und Net-NTLM-Relaying
- Kerberoasting und AS-REP Roasting
- Zugangsdaten auslesen mit Mimikatz und anderen Angriffswerkzeugen
- Zugangsdaten ausnutzen: (Over-)Pass the Hash, Pass the Key, Pass the Ticket
- Benutzerjagd und Seitwärtsbewegung (User Hunting und Lateral Movement)
- Unsichere Einträge in Zugriffskontrolllisten (ACLs) und Gruppenrichtlinien (GPOs)
- Uneingeschränkte, eingeschränkte und ressourcenbasiert-eingeschränkte Delegierung (RBCD)
- Angriffsoberfläche von SQL-Servern, Microsoft Exchange, Synchronisierung zu Azure Active Directory (AAD) und Active-Directory-Zertifikatsdiensten (Active Directory Certificate Services, AD CS)
- Ausnutzen von Trusts zwischen Domänen (und Forests) – eine Domäne ist keine Sicherheitsgrenze
- Möglichkeiten zur Persistenz – wie Angreifer sich langfristig und unbemerkt festsetzen
• Angriffe verhindern
- den initialen Zugriff erschweren
- Anwendungen einschränken mit AppLocker
- empfehlenswerte Einstellungen in Gruppenrichtlinien
- Local Administrator Password Solution (LAPS)
- Ebenenmodell und Least-Privilege-Prinzip
- Privileged Access Workstations (PAW)
- Zugangsdaten besser absichern durch Credential Guard
- administrative Benutzer und Dienstkonten schützen
- Audits der eigenen AD-Umgebung mit offensiven und defensiven Werkzeugen
• Angriffe erkennen
- Scharfschalten von Log- und Auditeinstellungen
- Zentrales Auswerten der entstehenden Protokolle
- Erkennen von Angriffen mithilfe der anfallenden Logs
- Kommerzielle Sicherheitslösungen wie Microsoft ATA und Defender for Identity
- Tricksen und Täuschen – Angreifer durch Honigsysteme (Honeypots), Honigdienste und Honigtoken in die Falle locken
• Weiterführende Informationen
- Hinweise zu empfehlenswerten Quellen für sowohl Angriffe auf als auch Verteidigung von On-Premise-AD-Umgebungen
Zielgruppe / Voraussetzungen
Dieser Online-Workshop richtet sich an Administrierende, IT-Leiterinnen und -Leiter, IT-Sicherheitsverantwortliche sowie an Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von On-Premise-Active-Directory beschäftigen wollen.
Voraussetzungen: Teilnehmende des Workshops sollten über Grundkenntnisse in der Administration von Windows-Umgebungen verfügen und Begriffe wie Gruppenrichtlinie, Organisationseinheit und PowerShell einordnen können.
Abschlussqualifikation / Zertifikat
Teilnahmebescheinigung
Kostenzusatz
Enthalten sind Workshopunterlagen und die Teilnahmebescheinigung
Infos anfordern
heise academy
Die heise academy steht für selbstbestimmte und lebenslange Weiterbildung für IT-Professionals und Unternehmen. Unsere Schulungen überzeugen vor allem durch Interaktion, thematischen Tiefgang und individuelle Betreuung. Die iX-Workshops bieten IT-Professionals unverzichtbare Fortbildung sowohl zu neuen als auch zu bestehenden Themen. Das Themenspektrum umfasst...
Erfahren Sie mehr über heise Academy und weitere Kurse des Anbieters.