Absicherung Active Directory Training

Lernen Sie, wie man ein (Azure) Active Directory richtig absichert.

JETZT BUCHEN

Absicherung Active Directory

Active Directory (AD) ist ein zentraler Bestandteil vieler Unternehmensnetze und beliebtes Ziel von Ransomware und anderen Angriffen. In diesem Training lernen Sie, wie Angreifer vorgehen und wie Sie ihre AD-Umgebung effektiv absichern.

Das Training beleuchtet:

  • Angriffstechniken wie Pass the Hash, Delegierungsschwachstellen und Fehlkonfigurationen von Berechtigungen auf Objekten in einer Domäne.
  • Möglichkeiten zur Absicherung ihrer AD-Umgebung, indem Sie Fehlkonfigurationen und Schwachstellen finden und beheben. Dabei helfen offensive Werkzeuge wie PowerView, und Bloodhound sowie Audit-Tools wie PingCastle.
  • Härtungsmassnahmen wie eine differenzierte Rechtevergabe sowie die Einrichtung verschiedener Verwaltungsebenen.
  • Angriffe auf On-Premise-AD-Umgebung durch Logging und Monitoring oder den gezielten Einsatz von Deception Technology Software

Aus Zeit- und Effizienzgründen führen Sie in diesem Intensivtraining keine praktischen Übungen durch. Der Referent gibt Empfehlungen und stellt Unterlagen bereit, auf deren Grundlage Sie im Nachgang eigenständig üben können.

Kursinhalt

Grundlagen

  • Objekte in einem AD, darunter Benutzer, Computer, Gruppen
  • Authentifizierungsprotokolle: Kerberos und Net-NTLM
  • Weitere im AD wichtige Protokolle wie DHCP, DNS, NetBIOS, LDAP und SMB
  • Basis für Zugriffsentscheidungen: Access Token, Security Descriptor und Zugriffskontrolllisten (ACLs)
  • Zugangsdaten: Passwörter, NT-Hashes, AES-Schlüssel, Tickets
  • Ziele und Denkweise von Angreifern bei gezielten Angriffen oder Ransomware

Wie Angreifer vorgehen: Angriffe durchführen

  • Informationssammlung im AD
  • Typische Fehlkonfigurationen
  • Weitere privilegierte Gruppen neben Domänenadmins
  • Password Spraying und Net-NTLM-Relaying
  • Kerberoasting und AS-REP Roasting
  • Zugangsdaten auslesen mit Mimikatz und anderen Angriffswerkzeugen
  • Zugangsdaten ausnutzen: (Over-)Pass the Hash, Pass the Key, Pass the Ticket
  • Benutzerjagd und Seitwärtsbewegung (User Hunting und Lateral Movement)
  • Unsichere Einträge in Zugriffskontrolllisten (ACLs) und Gruppenrichtlinien (GPOs)
  • Uneingeschränkte, eingeschränkte und ressourcenbasiert-eingeschränkte Delegierung (RBCD)
  • Angriffsoberfläche von SQL-Servern, Microsoft Exchange, Synchronisierung zu Azure Active Directory (AAD) und Active-Directory-Zertifikatsdiensten (Active Directory Certificate Services, AD CS)
  • Ausnutzen von Trusts zwischen Domänen (und Forests) – eine Domäne ist keine Sicherheitsgrenze
  • Möglichkeiten zur Persistenz – wie Angreifer sich langfristig und unbemerkt festsetzen

Angriffe verhindern

  • den initialen Zugriff erschweren
  • Anwendungen einschränken mit AppLocker
  • empfehlenswerte Einstellungen in Gruppenrichtlinien
  • Local Administrator Password Solution (LAPS)
  • Ebenenmodell und Least-Privilege-Prinzip
  • Privileged Access Workstations (PAW)
  • Zugangsdaten besser absichern durch Credential Guard
  • administrative Benutzer und Dienstkonten schützen
  • Audits der eigenen AD-Umgebung mit offensiven und defensiven Werkzeugen

Angriffe erkennen

  • Scharfschalten von Log- und Auditeinstellungen
  • Zentrales Auswerten der entstehenden Protokolle
  • Erkennen von Angriffen mithilfe der anfallenden Logs
  • Kommerzielle Sicherheitslösungen wie Microsoft ATA und Defender for Identity
  • Tricksen und Täuschen – Angreifer durch Honigsysteme (Honeypots), Honigdienste und Honigtoken in die Falle locken

Zielgruppe

Das «Absicherung Active Directory» Training richtet sich an Administrierende, IT-Leiterinnen und -Leiter, IT-Sicherheitsverantwortliche sowie an Security-Fachleute, die sich intensiver mit Angriffen auf und der Absicherung von On-Premise-Active-Directory beschäftigen wollen. Es ist für Einzelpersonen konzipiert, kann aber auch als Firmenkurs aufgebaut werden.

Details

  • Ort: Online
  • Dauer: 2 Tage

Buchung

Sichern Sie Ihre (Azure) Active Directory richtig ab und schützen Sie Ihr Unternehmen. Das Training findet in Kooperation mit der heise academy statt.

Jetzt das «Absicherung Active Directory» Training buchen
heise academy

Firmenkurs

Möchten Sie das Active Directory Training für alle Mitarbeitende Ihres Unternehmens buchen? Oneconsult entwickelt und organisiert Kurse, die auf die Bedürfnisse Ihres Unternehmens angepasst sind. Kontaktieren Sie uns für ein individuelles Angebot.

  • Online
  • 2 Tage
  • Einzelpersonen oder Firmenkurs
Das könnte Sie auch noch interessieren
Advanced Cyber Attack & Defense Training
Advanced Cyber Attack & Defense Training
Im «Advanced Cyber Attack & Defense» Training lernen Sie die heutigen Techniken und Tools der Angreifer kennen (Offensive). Holen Sie sich das Wissen und die Fähigkeiten, um Cyber-Angriffe zu verstehen und abzuwehren.
Secure Software Development Training
Web Application Security – Basic
Buchen Sie jetzt das Secure Software Development Training und erwerben Sie die Tools und das Wissen, um Ihre Webapplikationen vor Sicherheitsmängeln zu schützen.
OPST – OSSTMM Professional Security Tester
OPST – OSSTMM Professional Security Tester
Das «OSSTMM Professional Security Tester»-Bootcamp bereitet Teilnehmende mit bereits fundiertem Wissen im Hacking- und Penetration-Testing-Bereich auf die OPST-Zertifizierungsprüfung vor.

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 18.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

  • Was und wer ist betroffen?
  • Wer hat den Vorfall entdeckt und gemeldet?
  • Wie und wann wurde der Vorfall bemerkt?
  • Was haben Sie beobachtet?
  • Was bereitet Ihnen Sorgen im Zusammenhang mit dem Vorfall?
  • Welche Massnahmen wurden bereits eingeleitet?

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen