Sie suchen Ihre bereits erworbenen Lerninhalte? Dann geht es hier entlang: Zum academy Campus
+ 3 weitere Optionen
Dieser Workshop hat bereits stattgefunden. Eine Liste aller kommenden Workshops finden Sie hier.
Zahlreiche Unternehmen steuern die Zugriffsrechte ihrer Mitarbeiter über Active Directory. Da verschlüsselte oder erbeutete Daten zu hohen finanziellen Einbußen führen, ist ein präventiver Schutz der lokalen AD-Umgebung besonders wichtig.
Nach Abschluss des dreitägigen Workshops können Sie:
Vorgehensweisen von Angreifern nachvollziehen, um Schutzmaßnahmen effizient zu priorisieren
Fehlkonfigurationen und Schwachstellen von Active Directory in On-Premises-Umgebungen auffinden und beheben
lokale Umgebungen von Active Directory effektiv absichern
Angriffe auf lokale Active-Directory-Umgebungen erkennen
In diesem Workshop machen Sie sich mit Angriffstechniken auf lokale Active-Directory-Umgebungen vertraut. Zudem lernen Sie die Delegierungsschwachstellen und Fehlkonfigurationen kennen, die Angreifer ausnutzen und erfahren, wie Sie diese effektiv beheben. Dazu kommen nutzen Sie allgemeine Auditkwerzeuge wie PingCastle, spezialisierte Prüftools für bestimmte Angriffsvektoren und offensive Werkzeuge wie BloodHound und dessen Erweiterungen.
Ebenfalls erhalten Sie eine Übersicht über Härtungsmaßnahmen wie eine differenzierte Rechtevergabe und die Einrichtung verschiedener Verwaltungsebenen. Außerdem lernen Sie, wie Sie Angriffe auf Ihre lokal betriebene AD-Umgebung durch den gezielten Einsatz von Detection- und Deception-Technology-Software erkennen.
Aus Zeit- und Effizienzgründen führen Sie in diesem Intensiv-Workshop keine Hands-on-Übungen durch. Daher erhalten Sie Unterlagen, auf deren Grundlage Sie im Nachgang eigenständig üben können. Ebenfalls bekommen Sie zahlreiche Hinweise zu empfehlenswerten Quellen für sowohl Angriffe auf als auch Verteidigung von Active Directory.
Objekte in einem AD, darunter Benutzer, Computer, Gruppen
Authentifizierungsprotokolle: Kerberos und Net-NTLM
Weitere im AD wichtige Protokolle wie DHCP, DNS, NetBIOS, LDAP und SMB
Basis für Zugriffsentscheidungen: Access Token, Security Descriptor und Zugriffskontrolllisten (ACLs)
Zugangsdaten: Passwörter, NT-Hashes, AES-Schlüssel, Tickets, Zertifikate
Ziele und Denkweise von Angreifern bei gezielten Angriffen oder Ransomware
Informationssammlung im AD
typische Fehlkonfigurationen erkennen und nachvollziehen
Grundschutz durch ordentliches Patchmanagement herstellen
Domänenadministratoren und weitere privilegierte Gruppen kennenlernen
Password Spraying und Net-NTLM-Relaying verstehen
Kerberoasting und AS-REP Roasting durchdringen
Zugangsdaten auslesen: Mimikatz und andere Angriffswerkzeuge
Zugangsdaten ausnutzen: (Over-)Pass the Hash, Pass the Key, Pass the Ticket
Benutzerjagd und Seitwärtsbewegung (User Hunting und Lateral Movement)
unsichere Einträge in Zugriffskontrolllisten (ACL) und Gruppenrichtlinien (GPO) erkennen
uneingeschränkte, eingeschränkte und ressourcenbasiert-eingeschränkte Delegierung (RBCD) verstehen
Angriffsoberfläche von Active-Directory-Zertifikatsdiensten (AD CS), SQL-Servern, Microsoft Exchange, Synchronisierung zu Entra ID / Azure Active Directory verringern
Trusts zwischen Domänen (und Forests) ausnutzen
den initialen Zugriff erschweren
Anwendungen einschränken mit AppLocker und App Control for Business (WDAC)
Gruppenrichtlinien sinnvoll einstellen, beispielsweise für lokales Firewalling
Local Administrator Password Solution (LAPS) nutzen
Zugangsdaten besser absichern durch Credential Guard und andere Lösungen
administrative Benutzer und Dienstkonten schützen
Audits der eigenen AD-Umgebung mit offensiven und defensiven Werkzeugen durchführen
Ebenenmodell und Least-Privilege-Prinzip anwenden
Privileged Access Workstations (PAW)
Scharfschalten von Log- und Auditeinstellungen
kommerzielle Sicherheitslösungen wie Defender for Identity verwenden
Angreifer durch Honeypots, Honigdienste und Honigtoken in die Falle locken
Windows-Administratoren, die lokale Active-Directory-Umgebungen effektiv härten und absichern wollen
IT-Führungskräfte und -Sicherheitsverantwortliche, welche Angriffe auf Active Directory in On-Premises-Umgebungen verstehen und Schutzmaßnahmen im Unternehmen etablieren wollen
Grundkenntnisse in der Administration von Windows-Umgebungen
erster Umgang mit Gruppenrichtlinien, Organisationseinheiten und der Windows PowerShell
Sie erhalten Ihre Schulungsunterlagen in digitaler Form. So können Sie selbst entscheiden, ob Sie diese elektronisch bearbeiten und archivieren oder lieber ausdrucken möchten.
Mit der Teilnahmebescheinigung unterstreichen Sie Ihr Weiterbildungsengagement und verbessern Ihre Perspektiven für interne Karriereschritte oder neue berufliche Wege.
Sie nehmen über Zoom am Workshop teil, wobei die Verbindung über einen lokal gehosteten, DSGVO-konformen On-Premises-Connector erfolgt.
Um einen intensiven Austausch zwischen dem Trainer und den Teilnehmenden zu gewährleisten, erfolgt der Workshop in Gruppen von höchstens 20 Personen.
Sollte die Durchführung der Veranstaltung aufgrund höherer Gewalt, der Verhinderung eines Referenten, von Störungen am Veranstaltungsort oder wegen zu geringer Teilnehmerzahl nicht möglich sein, werden die Teilnehmenden so früh wie möglich informiert.
Frank Ully ist Principal Consultant Cybersecurity und Head of CORE bei Corporate Trust Business Rist & Crisis Management. Seit mehr als zehn Jahren beschäftigt er sich beruflich mit Informationssicherheit, zuletzt mit Fokus auf Entwicklungen in der offensiven IT-Security. Seine derzeitigen Schwerpunkte umfassen Active Directory, die Sicherheit öffentlicher Clouds und künstliche Intelligenz. Sein Wissen teilt Frank regelmäßig in Vorträgen, Webinaren, Schulungen und Artikeln, etwa in der Fachzeitschrift iX oder bei der heise academy. Damit hilft er Organisationen, Angreifer zu verstehen und sich effizient gegen sie zu verteidigen – auf dem neuesten Stand der Technik.
Dieser Workshop hat bereits stattgefunden. Eine Liste aller kommenden Workshops finden Sie hier.
Füllen Sie ganz einfach und bequem das Kontaktformular aus und wir werden Ihnen Ihre Fragen schnellstmöglich beantworten.
Telefonisch erreichbar: Mo – Fr | 08:30 – 16:00 Uhr