Angriffsziel lokales Active Directory: effiziente Absicherung

Zahlreiche Unternehmen steuern die Zugriffsrechte ihrer Mitarbeiter über Active Directory. Da verschlüsselte oder erbeutete Daten zu hohen finanziellen Einbußen führen, ist ein präventiver Schutz der lokalen AD-Umgebung besonders wichtig.

Nach Abschluss des dreitägigen Workshops können Sie:

• Vorgehensweisen von Angreifern nachvollziehen, um Schutzmaßnahmen effizient zu priorisieren

• Fehlkonfigurationen und Schwachstellen von Active Directory in On-Premises-Umgebungen auffinden und beheben

• lokale Umgebungen von Active Directory effektiv absichern

• Angriffe auf lokale Active-Directory-Umgebungen erkennen

Inhalte

In diesem Workshop machen Sie sich mit Angriffstechniken auf lokale Active-Directory-Umgebungen vertraut. Zudem lernen Sie die Delegierungsschwachstellen und Fehlkonfigurationen kennen, die Angreifer ausnutzen und erfahren, wie Sie diese effektiv beheben. Dazu kommen nutzen Sie allgemeine Auditkwerzeuge wie PingCastle, spezialisierte Prüftools für bestimmte Angriffsvektoren und offensive Werkzeuge wie BloodHound und dessen Erweiterungen.

Ebenfalls erhalten Sie eine Übersicht über Härtungsmaßnahmen wie eine differenzierte Rechtevergabe und die Einrichtung verschiedener Verwaltungsebenen. Außerdem lernen Sie, wie Sie Angriffe auf Ihre lokal betriebene AD-Umgebung durch den gezielten Einsatz von Detection- und Deception-Technology-Software erkennen.

Aus Zeit- und Effizienzgründen führen Sie in diesem Intensiv-Workshop keine Hands-on-Übungen durch. Daher erhalten Sie Unterlagen, auf deren Grundlage Sie im Nachgang eigenständig üben können. Ebenfalls bekommen Sie zahlreiche Hinweise zu empfehlenswerten Quellen für sowohl Angriffe auf als auch Verteidigung von Active Directory.

Themen in der Übersicht

• 1. Active Directory und Angriffsmöglichkeiten kennenlernen

  • Objekte in einem AD, darunter Benutzer, Computer, Gruppen

  • Authentifizierungsprotokolle: Kerberos und Net-NTLM

  • Weitere im AD wichtige Protokolle wie DHCP, DNS, NetBIOS, LDAP und SMB

  • Basis für Zugriffsentscheidungen: Access Token, Security Descriptor und Zugriffskontrolllisten (ACLs)

  • Zugangsdaten: Passwörter, NT-Hashes, AES-Schlüssel, Tickets, Zertifikate

  • Ziele und Denkweise von Angreifern bei gezielten Angriffen oder Ransomware

• 2. Angriffe auf lokale AD-Umgebungen verstehen

  • Informationssammlung im AD

  • typische Fehlkonfigurationen erkennen und nachvollziehen

  • Grundschutz durch ordentliches Patchmanagement herstellen

  • Domänenadministratoren und weitere privilegierte Gruppen kennenlernen

  • Password Spraying und Net-NTLM-Relaying verstehen

  • Kerberoasting und AS-REP Roasting durchdringen

  • Zugangsdaten auslesen: Mimikatz und andere Angriffswerkzeuge

  • Zugangsdaten ausnutzen: (Over-)Pass the Hash, Pass the Key, Pass the Ticket

  • Benutzerjagd und Seitwärtsbewegung (User Hunting und Lateral Movement)

  • unsichere Einträge in Zugriffskontrolllisten (ACL) und Gruppenrichtlinien (GPO) erkennen

  • uneingeschränkte, eingeschränkte und ressourcenbasiert-eingeschränkte Delegierung (RBCD) verstehen

  • Angriffsoberfläche von Active-Directory-Zertifikatsdiensten (AD CS), SQL-Servern, Microsoft Exchange, Synchronisierung zu Entra ID / Azure Active Directory verringern

  • Trusts zwischen Domänen (und Forests) ausnutzen

• 3. Angriffe auf lokales Active Directory erschweren und verhindern

  • den initialen Zugriff erschweren

  • Anwendungen einschränken mit AppLocker und App Control for Business (WDAC)

  • Gruppenrichtlinien sinnvoll einstellen, beispielsweise für lokales Firewalling

  • Local Administrator Password Solution (LAPS) nutzen

  • Zugangsdaten besser absichern durch Credential Guard und andere Lösungen

  • administrative Benutzer und Dienstkonten schützen

  • Audits der eigenen AD-Umgebung mit offensiven und defensiven Werkzeugen durchführen

  • Ebenenmodell und Least-Privilege-Prinzip anwenden

  • Privileged Access Workstations (PAW)

• 4. Angriffe auf On-Premises-Umgebungen von Active Directory erkennen

  • Scharfschalten von Log- und Auditeinstellungen

  • kommerzielle Sicherheitslösungen wie Defender for Identity verwenden

  • Angreifer durch Honeypots, Honigdienste und Honigtoken in die Falle locken

Zielgruppe

• Windows-Administratoren, die lokale Active-Directory-Umgebungen effektiv härten und absichern wollen

• IT-Führungskräfte und -Sicherheitsverantwortliche, welche Angriffe auf Active Directory in On-Premises-Umgebungen verstehen und Schutzmaßnahmen im Unternehmen etablieren wollen

Voraussetzungen

Vorkenntnisse

• Grundkenntnisse in der Administration von Windows-Umgebungen

• erster Umgang mit Gruppenrichtlinien, Organisationseinheiten und der Windows PowerShell

Leistungen Ihres Workshoptickets

• Sie erhalten Ihre Schulungsunterlagen in digitaler Form. So können Sie selbst entscheiden, ob Sie diese elektronisch bearbeiten und archivieren oder lieber ausdrucken möchten.

• Mit der Teilnahmebescheinigung unterstreichen Sie Ihr Weiterbildungsengagement und verbessern Ihre Perspektiven für interne Karriereschritte oder neue berufliche Wege.

Durchführung

• Sie nehmen über Zoom am Workshop teil, wobei die Verbindung über einen lokal gehosteten, DSGVO-konformen On-Premises-Connector erfolgt.

• Um einen intensiven Austausch zwischen dem Trainer und den Teilnehmenden zu gewährleisten, erfolgt der Workshop in Gruppen von höchstens 20 Personen.

• Sollte die Durchführung der Veranstaltung aufgrund höherer Gewalt, der Verhinderung eines Referenten, von Störungen am Veranstaltungsort oder wegen zu geringer Teilnehmerzahl nicht möglich sein, werden die Teilnehmenden so früh wie möglich informiert.