Active Directory Hardening: Vom Audit zur sicheren Umgebung

Immer häufiger zielen Cyberkriminelle auf Active Directory, um Unternehmensdaten zu erbeuten oder mit Ransomware Lösegeld zu erpressen. Umso wichtiger ist es, AD-Umgebungen präventiv vor Angriffen zu schützen.

Nach der Teilnahme am dreitägigen Workshop können Sie:

• Angriffe auf Active-Directory-Umgebungen erkennen

• Fehlkonfigurationen und Schwachstellen in Active Directory auffinden und beheben

• AD-Umgebungen mit offensiven Werkzeugen und Audit-Tools prüfen und absichern

Inhalte

Dieser Workshop vermittelt zentrale Sicherheitsgrundsätze und -praktiken zur Selbst-Auditierung und Härtung von Active Directory. Dabei lernen Sie potenzielle Sicherheitsrisiken und Fehlkonfigurationen kennen und erfahren, welche Tools Sie zur effektiven Überprüfung und Behebung der Einstellungen Ihrer AD-Infrastruktur nutzen können.

Weiterhin lernen Sie die Implementierung von bewährten Schutzmaßnahmen, darunter AppLocker, LAPS und das Least-Privilege-Prinzip. Ebenfalls erfahren Sie, wie Sie die Gruppenrichtlinien von Active Directory sicher einstellen und Erweiterungen wie den AD-Zertifikatsdienst prüfen.

Mit realistischen Hands-on-Übungen trainieren Sie in einer vorgefertigten Testumgebung, wie Sie verschiedene Fehlkonfigurationen und Schwachstellen selbst auditieren können. Anschließend implementieren Sie entsprechende Schutzmaßnahmen und wenden die kennengelernten Techniken eigenständig an. Dabei sammeln Sie praktische Erfahrungen im Umgang mit integrierten Windows-Funktionen und Open-Source-Tools.

Themen in der Übersicht

• 1. Zugriffe und Authentifizierung in Active Directory kennenlernen

  • Objekte in einem AD einschließlich Benutzer, Computer, Gruppen

  • Authentifizierungsprotokolle: Kerberos und Net-NTLM

  • weitere Protokolle im AD: DHCP, DNS, NetBIOS, LDAP und SMB

  • Grundlage für Zugriffsentscheidungen: Access Token, Security Descriptor und Zugriffskontrolllisten (ACL)

  • Zugangsdaten: Passwörter, NT-Hashes, AES-Schlüssel, Tickets

  • Ziele und Denkweise der Angreifer bei gezielten Angriffen oder Ransomware

• 2. Ursachen typischer Angriffe auditieren

  • Informationssammlung im AD

  • typische Fehlkonfigurationen

  • Domänenadministratoren und weitere privilegierte Gruppen

  • Passwortrichtlinien: Password Spraying und Net-NTLM-Relaying

  • AD-Service-Benutzer: Kerberoasting und AS-REP Roasting

  • Zugangsdaten auslesen mit Mimikatz und anderen Angriffswerkzeugen

  • Zugangsdaten ausnutzen: (Over-)Pass the Hash, Pass the Key, Pass the Ticket

  • Benutzerjagd und Seitwärtsbewegung

  • unsichere Einträge in Zugriffskontrolllisten (ACL) und Gruppenrichtlinien (GPO)

  • uneingeschränkte, eingeschränkte und ressourcenbasiert-eingeschränkte Delegierung (RBCD)

  • Angriffsoberfläche von SQL-Servern, Microsoft Exchange, Synchronisierung zu Microsoft Entra ID und Active-Directory-Zertifikatsdiensten (AD CS)

  • Trusts zwischen Domänen (und Forests) ausnutzen

• 3. Angriffe auf Active Directory erkennen

  • Log- und Auditeinstellungen scharfschalten

  • Protokolle zentral auswerten und Angriffe erkennen

  • Angreifer durch Honeypots, Honigdienste und Honigtoken in die Falle locken

• 4. AD-Umgebungen vor Angriffen schützen

  • Erstzugriff erschweren

  • Anwendungen mit AppLocker einschränken

  • Gruppenrichtlinien sicher einstellen

  • Local Administrator Password Solution (LAPS)

  • Tiering-Modelle und Least-Privilege-Prinzip

Zielgruppe

• Windows-Administratoren, die lokal betriebene Active-Directory-Umgebungen härten wollen

Voraussetzungen

erforderliche Vorkenntnisse

• Grundkenntnisse in der Administration von AD-Umgebungen

• Umgang mit CLI-Programmen in Windows PowerShell

Leistungen Ihres Workshoptickets

• Sie erhalten Ihre Schulungsunterlagen in digitaler Form. So können Sie selbst entscheiden, ob Sie diese elektronisch bearbeiten und archivieren oder lieber ausdrucken möchten.

• Mit der Teilnahmebescheinigung unterstreichen Sie Ihr Weiterbildungsengagement und verbessern Ihre Perspektiven für interne Karriereschritte oder neue berufliche Wege.

Durchführung

• Sie nehmen über Zoom am Workshop teil, wobei die Verbindung über einen lokal gehosteten, DSGVO-konformen On-Premises-Connector erfolgt.

• Um einen intensiven Austausch zwischen dem Trainer und den Teilnehmenden zu gewährleisten, erfolgt der Workshop in Gruppen von höchstens 10 Personen.

• Sollte die Durchführung der Veranstaltung aufgrund höherer Gewalt, der Verhinderung eines Referenten, von Störungen am Veranstaltungsort oder wegen zu geringer Teilnehmerzahl nicht möglich sein, werden die Teilnehmenden so früh wie möglich informiert.

• Den Workshop vom 23. bis zum 25. September 2025 betreut Thomas Kudlacek. Im Termin vom 26. bis zum 28. November 2025 leitet Sie Yves Kraft durch die Inhalte.