Active Directory Hardening: Vom Audit zur sicheren Umgebung

Immer häufiger zielen Cyberkriminelle auf Active Directory, um Unternehmensdaten zu erbeuten oder mit Ransomware Lösegeld zu erpressen. Umso wichtiger ist es, AD-Umgebungen präventiv vor Angriffen zu schützen. Nach der Teilnahme am dreitägigen Workshop können Sie:

• Angriffe auf Active-Directory-Umgebungen erkennen

• Fehlkonfigurationen und Schwachstellen in Active Directory auffinden und beheben

• AD-Umgebungen mit offensiven Werkzeugen und Audit-Tools prüfen und absichern

Inhalte

Dieser Workshop vermittelt, wie Sie Active-Directory-Umgebungen sichern können, indem Sie Sicherheitsgrundsätze und -praktiken zur Selbst-Auditierung und Härtung anwenden. Dazu lernen Sie potenzielle Sicherheitsrisiken und Fehlkonfigurationen kennen und erfahren Tools kennen, mit denen SIe die Einstellungen Ihrer AD-Infrastruktur prüfen und beheben können.

Weiterhin lernen Sie die Implementierung von Schutzmaßnahmen, darunter AppLocker, LAPS und das Least-Privilege-Prinzip. Ebenfalls erfahren Sie, wie Sie die Gruppenrichtlinien von Active Directory sicher einstellen und Erweiterungen wie den AD-Zertifikatsdienst prüfen.

Mit realistischen Hands-on-Übungen trainieren Sie in einer vorgefertigten Testumgebung, verschiedene Fehlkonfigurationen und Schwachstellen selbst zu auditieren. Anschließend implementieren Sie entsprechende Schutzmaßnahmen und wenden die kennengelernten Techniken eigenständig an. Dabei sammeln sie praktische Erfahrungen im Umgang mit integrierten Windows-Funktionen und Open-Source-Tools.

Themen in der Übersicht

• 1. Zugriffe und Authentifizierung in Active Directory kennenlernen

  • Objekte in einem AD einschließlich Benutzer, Computer, Gruppen

  • Authentifizierungsprotokolle: Kerberos und Net-NTLM

  • weitere Protokolle im AD: DHCP, DNS, NetBIOS, LDAP und SMB

  • Grundlage für Zugriffsentscheidungen: Access Token, Security Descriptor und Zugriffskontrolllisten (ACL)

  • Zugangsdaten: Passwörter, NT-Hashes, AES-Schlüssel, Tickets

  • Ziele und Denkweise der Angreifer bei gezielten Angriffen oder Ransomware

• 2. Ursachen typischer Angriffe auditieren

  • Informationssammlung im AD

  • typische Fehlkonfigurationen

  • Domänenadministratoren und weitere privilegierte Gruppen

  • Passwortrichtlinien: Password Spraying und Net-NTLM-Relaying

  • AD-Service-Benutzer: Kerberoasting und AS-REP Roasting

  • Zugangsdaten auslesen mit Mimikatz und anderen Angriffswerkzeugen

  • Zugangsdaten ausnutzen: (Over-)Pass the Hash, Pass the Key, Pass the Ticket

  • Benutzerjagd und Seitwärtsbewegung

  • unsichere Einträge in Zugriffskontrolllisten (ACL) und Gruppenrichtlinien (GPO)

  • uneingeschränkte, eingeschränkte und ressourcenbasiert-eingeschränkte Delegierung (RBCD)

  • Angriffsoberfläche von SQL-Servern, Microsoft Exchange, Synchronisierung zu Microsoft Entra ID und Active-Directory-Zertifikatsdiensten (AD CS)

  • Trusts zwischen Domänen (und Forests) ausnutzenAngriffe auf Active Directory erkennen

• 3. Angriffe auf Active Directory erkennen

  • Log- und Auditeinstellungen scharfschalten

  • Protokolle zentral auswerten und Angriffe erkennen

  • Angreifer durch Honeypots, Honigdienste und Honigtoken in die Falle locken

• 4. AD-Umgebungen vor Angriffen schützen

  • Erstzugriff erschweren

  • Anwendungen mit AppLocker einschränken

  • Gruppenrichtlinien sicher einstellen

  • Local Administrator Password Solution (LAPS)

  • Tiering-Modelle und Least-Privilege-Prinzip

Zielgruppe

• Windows-Administratoren, die lokal betriebene Active-Directory-Umgebungen härten wollen

Voraussetzungen

inhaltliche Voraussetzungen

• Grundkenntnisse in der Administration von AD-Umgebungen

• Umgang mit CLI-Programmen in Windows PowerShell

Leistungen Ihres Workshoptickets

• Workshopunterlagen zur Wiederholung und Vertiefung im Nachgang

• Teilnahmebescheinigung als Nachweis der gelernten Inhalte ‒ zur Vorlage beim Arbeitgeber oder für künftige Bewerbungen

Durchführung

Die Teilnehmerzahl ist auf maximal 10 Personen begrenzt, damit Sie sich in einer kleinen Gruppe austauschen können und eine enge Betreuung durch den Referenten erhalten.

Die Durchführung des Workshops erfolgt via Zoom mittels eines DSGVO-konformen On-Premises-Connectors.

Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl nicht möglich, werden die Teilnehmenden frühestmöglich informiert.

Den Workshop vom 23. bis zum 25. September 2025 betreut Thomas Kudlacek. Im Termin vom 26. bis zum 28. November 2025 leitet Sie Yves Kraft durch die Inhalte.