Workshops

Angriffsziel lokales Active Directory: effiziente Absicherung

Active Directory (AD) ist ein zentraler Bestandteil vieler Unternehmensnetze und beliebtes Ziel von Ransomware und anderen Angriffen. In diesem Workshop lernen Sie, wie Angreifer vorgehen und wie Sie ihre AD-Umgebung effektiv absichern.

Mit Frank Ully

Angriffsziel lokales Active Directory: effiziente Absicherung

Überblick

Der Workshop beleuchtet:

Angriffstechniken wie Pass the Hash, Delegierungsschwachstellen und Fehlkonfigurationen von Berechtigungen auf Objekten in einer Domäne.
Möglichkeiten zur Absicherung ihrer AD-Umgebung, indem Sie Fehlkonfigurationen und Schwachstellen finden und beheben. Dabei helfen offensive Werkzeuge wie PowerView, und Bloodhound sowie Audit-Tools wie PingCastle.
Härtungsmaßnahmen wie eine differenzierte Rechtevergabe sowie die Einrichtung verschiedener Verwaltungsebenen.
wie Sie Angriffe auf ihre On-Premise-AD-Umgebung durch Logging und Monitoring oder den gezielten Einsatz von Deception Technology Software erkennen.

Aus Zeit- und Effizienzgründen führen Sie in diesem Intensivworkshop keine Hands-on-Übungen durch. Der Referent gibt Empfehlungen und stellt Unterlagen bereit, auf deren Grundlage Sie im Nachgang eigenständig üben können.

Inhalte

1. Grundlagen
- Objekte in einem AD, darunter Benutzer, Computer, Gruppen
- Authentifizierungsprotokolle: Kerberos und Net-NTLM
- Weitere im AD wichtige Protokolle wie DHCP, DNS, NetBIOS, LDAP und SMB
- Basis für Zugriffsentscheidungen: Access Token, Security Descriptor und Zugriffskontrolllisten (ACLs)
- Zugangsdaten: Passwörter, NT-Hashes, AES-Schlüssel, Tickets
- Ziele und Denkweise von Angreifern bei gezielten Angriffen oder Ransomware
2. Wie Angreifer vorgehen: Angriffe durchführen
- Informationssammlung im AD
- Typische Fehlkonfigurationen
- Weitere privilegierte Gruppen neben Domänenadmins
- Password Spraying und Net-NTLM-Relaying
- Kerberoasting und AS-REP Roasting
- Zugangsdaten auslesen mit Mimikatz und anderen Angriffswerkzeugen
- Zugangsdaten ausnutzen: (Over-)Pass the Hash, Pass the Key, Pass the Ticket
- Benutzerjagd und Seitwärtsbewegung (User Hunting und Lateral Movement)
- Unsichere Einträge in Zugriffskontrolllisten (ACLs) und Gruppenrichtlinien (GPOs)
- Uneingeschränkte, eingeschränkte und ressourcenbasiert-eingeschränkte Delegierung (RBCD)
- Angriffsoberfläche von SQL-Servern, Microsoft Exchange, Synchronisierung zu Azure Active Directory (AAD) und Active-Directory-Zertifikatsdiensten (Active Directory Certificate Services, AD CS)
- Ausnutzen von Trusts zwischen Domänen (und Forests) – eine Domäne ist keine Sicherheitsgrenze
- Möglichkeiten zur Persistenz – wie Angreifer sich langfristig und unbemerkt festsetzen
3. Angriffe verhindern
- den initialen Zugriff erschweren
- Anwendungen einschränken mit AppLocker
- empfehlenswerte Einstellungen in Gruppenrichtlinien
- Local Administrator Password Solution (LAPS)
- Ebenenmodell und Least-Privilege-Prinzip
- Privileged Access Workstations (PAW)
- Zugangsdaten besser absichern durch Credential Guard
- administrative Benutzer und Dienstkonten schützen
- Audits der eigenen AD-Umgebung mit offensiven und defensiven Werkzeugen
4. Angriffe erkennen
- Scharfschalten von Log- und Auditeinstellungen
- Zentrales Auswerten der entstehenden Protokolle
- Erkennen von Angriffen mithilfe der anfallenden Logs
- Kommerzielle Sicherheitslösungen wie Microsoft ATA und Defender for Identity
- Tricksen und Täuschen – Angreifer durch Honigsysteme (Honeypots), Honigdienste und Honigtoken in die Falle locken
5. Weiterführende Informationen
- Hinweise zu empfehlenswerten Quellen für sowohl Angriffe auf als auch Verteidigung von On-Premise-AD-Umgebungen

Zielgruppe

Dieser Workshop richtet sich an Administrierende, IT-Leiterinnen und -Leiter, IT-Sicherheitsverantwortliche sowie an Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von On-Premise-Active-Directory beschäftigen wollen.

Voraussetzungen

Teilnehmende des Workshops sollten über Grundkenntnisse in der Administration von Windows-Umgebungen verfügen und Begriffe wie Gruppenrichtlinie, Organisationseinheit und PowerShell einordnen können.

Für die Durchführung der Remote-Workshops wird Zoom über einen DSGVO-konformen On-Premise-Connector verwendet. Wir bitten Sie, ein Mikrofon oder Headset sowie einen aktuellen Browser zu nutzen. Alle Informationen zu den Vor-Ort-Workshops erhalten Sie nach Ihrer Anmeldung per E-Mail.

Leistungen Ihres Workshoptickets

Workshopunterlagen
Teilnahmebescheinigung

Durchführung

Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl nicht möglich, werden die Teilnehmenden frühestmöglich informiert.

Die Teilnehmerzahl ist auf max. 20 Personen begrenzt.

Frank Ully

Head of Research | Oneconsult Deutschland AG

Frank Ully ist erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München. In dieser Funktion beschäftigt er sich schwerpunktmäßig mit relevanten Entwicklungen in der offensiven IT-Sicherheit. Frank Ully hält regelmäßig Vorträge und veröffentlicht Artikel in Fachzeitschriften wie der iX. Nach dem berufsbegleitenden Masterstudium Security Management mit Schwerpunkt IT-Security wurde er zum Offensive Security Certified Expert (OSCE) und Offensive Security Certified Professional (OSCP) zertifiziert. Darüber hinaus verfügt er über weitere Zertifikate wie Certified Red Team Operator (CRTO), Certified Red Team Professional (CRTP) und GIAC Reverse Engineering Malware (GREM).

Zum Profil