Angriffsziel lokales Active Directory: effiziente Absicherung

In zahlreichen Unternehmen kommt Microsoft Active Directory zum Einsatz, um die reale Struktur des Betriebs digital abzubilden und die Zugriffsrechte der Mitarbeiter zu steuern. Für Cyberkriminelle eignet es sich daher als Ziel von Ransomware- und anderen Angriffen, um Zugang zu internen Daten zu erhalten oder Lösegelder zur Freigabe der Daten zu erpressen. Solche Sicherheitsfälle führen zu hohen finanziellen Einbußen und schaden dem Ansehen des Unternehmens gegenüber Lieferanten, Kunden und Partnern. Umso wichtiger ist es, proaktiv zu handeln und die eigene Active-Directory-Umgebung präventiv zu schützen.

Inhalte

In diesem Workshop lernen Sie Angriffstechniken auf Active Directory kennen, darunter Angriffstechniken wie Pass the Hash. Ebenso nutzen Cyberkriminelle Delegierungsschwachstellen und Fehlkonfigurationen von Berechtigungen auf Objekten in einer Domäne. Daher erfahren Sie, welche Möglichkeiten es zur Absicherung der AD-Umgebung in Ihrem Unternehmen gibt. Somit können Sie Fehlkonfigurationen und Schwachstellen finden und beheben. Dabei helfen offensive Werkzeuge wie PowerView, und Bloodhound sowie Audit-Tools wie PingCastle.

Ebenfalls bekommen Sie eine Übersicht über Härtungsmaßnahmen wie eine differenzierte Rechtevergabe und die Einrichtung verschiedener Verwaltungsebenen. Außerdem lernen Sie, wie Sie Angriffe auf Ihre lokal betriebene AD-Umgebung durch Logging und Monitoring oder den gezielten Einsatz von Deception-Technology-Software erkennen. Zusätzlich erhalten Sie Tipps für weiterführende Quellen zu Angriffen und Verteidigung von Active Directory im On-Premises-Betrieb.

Aus Zeit- und Effizienzgründen führen Sie in diesem Intensivworkshop keine Hands-on-Übungen durch. Der Referent gibt Empfehlungen und stellt Unterlagen bereit, auf deren Grundlage Sie im Nachgang eigenständig üben können. 

Themen in der Übersicht

• 1. Active Directory und Angriffsmöglichkeiten im Überblick

  • Objekte in einem AD, darunter Benutzer, Computer, Gruppen

  • Authentifizierungsprotokolle: Kerberos und Net-NTLM

  • Weitere im AD wichtige Protokolle wie DHCP, DNS, NetBIOS, LDAP und SMB

  • Basis für Zugriffsentscheidungen: Access Token, Security Descriptor und Zugriffskontrolllisten (ACLs)

  • Zugangsdaten: Passwörter, NT-Hashes, AES-Schlüssel, Tickets

  • Ziele und Denkweise von Angreifern bei gezielten Angriffen oder Ransomware 

• 2. Wie Angreifer vorgehen: Angriffe durchführen

  • Informationssammlung im AD

  • Typische Fehlkonfigurationen

  • Weitere privilegierte Gruppen neben Domänenadmins

  • Password Spraying und Net-NTLM-Relaying

  • Kerberoasting und AS-REP Roasting

  • Zugangsdaten auslesen mit Mimikatz und anderen Angriffswerkzeugen

  • Zugangsdaten ausnutzen: (Over-)Pass the Hash, Pass the Key, Pass the Ticket

  • Benutzerjagd und Seitwärtsbewegung (User Hunting und Lateral Movement)

  • Unsichere Einträge in Zugriffskontrolllisten (ACLs) und Gruppenrichtlinien (GPOs)

  • Uneingeschränkte, eingeschränkte und ressourcenbasiert-eingeschränkte Delegierung (RBCD)

  • Angriffsoberfläche von SQL-Servern, Microsoft Exchange, Synchronisierung zu Azure Active Directory (AAD) und Active-Directory-Zertifikatsdiensten (Active Directory Certificate Services, AD CS)

  • Ausnutzen von Trusts zwischen Domänen (und Forests) – eine Domäne ist keine Sicherheitsgrenze

  • Möglichkeiten zur Persistenz – wie Angreifer sich langfristig und unbemerkt festsetzen 

• 3. Angriffe erkennen

  • Scharfschalten von Log- und Auditeinstellungen

  • Zentrales Auswerten der entstehenden Protokolle

  • Erkennen von Angriffen mithilfe der anfallenden Logs

  • Kommerzielle Sicherheitslösungen wie Microsoft ATA und Defender for Identity

  • Tricksen und Täuschen – Angreifer durch Honigsysteme (Honeypots), Honigdienste und Honigtoken in die Falle locken 

• 4. Angriffe verhindern

  • den initialen Zugriff erschweren

  • Anwendungen einschränken mit AppLocker

  • empfehlenswerte Einstellungen in Gruppenrichtlinien

  • Local Administrator Password Solution (LAPS)

  • Ebenenmodell und Least-Privilege-Prinzip

  • Privileged Access Workstations (PAW)

  • Zugangsdaten besser absichern durch Credential Guard

  • administrative Benutzer und Dienstkonten schützen

  • Audits der eigenen AD-Umgebung mit offensiven und defensiven Werkzeugen 

Zielgruppe

Dieser Workshop richtet sich an Administrierende, IT-Leiterinnen und -Leiter, IT-Sicherheitsverantwortliche sowie an Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von On-Premise-Active-Directory beschäftigen wollen. 

Voraussetzungen

Teilnehmende des Workshops sollten über Grundkenntnisse in der Administration von Windows-Umgebungen verfügen und Begriffe wie Gruppenrichtlinie, Organisationseinheit und PowerShell einordnen können. 

Für die Durchführung der Remote-Workshops wird Zoom über einen DSGVO-konformen On-Premise-Connector verwendet. Wir bitten Sie, ein Mikrofon oder Headset sowie einen aktuellen Browser zu nutzen. Alle Informationen zu den Vor-Ort-Workshops erhalten Sie nach Ihrer Anmeldung per E-Mail.

Leistungen Ihres Workshoptickets

• Workshopunterlagen

• Teilnahmebescheinigung

Durchführung

Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl nicht möglich, werden die Teilnehmenden frühestmöglich informiert.

Die Teilnehmerzahl ist auf max. 20 Personen begrenzt.