Ihr Partner für IT-Infrastruktur- und Securityschulungen seit über 20 Jahren.

Nachricht

Leider ist dieser Kurs ausgebucht.

Hardening Microsoft Environments

Beginn:
29. Sep 2021
Ende:
30. Sep 2021
Kurs-Nr.:
M63-21-09
Preis:
1990,00 EUR (zzgl. MwSt.)
Ort:
online

Beschreibung

M63 - ONLINE WORKSHOP

Ein neuer zweitägiger Workshop in deutscher Sprache

Hardening Microsoft Environments

Lernen von den Profis

Ihre Trainer sind Friedwart Kuhn, Heinrich Wiederkehr, Thomas Schlabach, René Mathes
(Zwei der vier genannten Referenten leiten den Workshop)

Eine Teilnahme am Workshop ist von jedem PC/Laptop/Tablet mit stabiler Internetverbindung aus möglich. Es wird keine zusätzliche Software benötigt, ein aktueller Browser genügt (aktueller Microsoft Edge, Google Chrome oder Firefox). Auch der Zugriff auf das Trainings-Lab erfolgt über den Browser. Übungen können also ebenfalls realisiert werden, ohne dass zusätzliche Software benötigt wird. Die Schulung wird selbstverständlich live aus dem ERNW-Studio übertragen. Das Workshopmaterial, sowie mögliche Demos und natürlich die Trainer sind stets sichtbar und werden je nach Erfordernis gezeigt bzw. hervorgehoben. Das Schulungsmaterial stellen wir Ihnen zusätzlich im Vorfeld elektronisch zur Verfügung. Fragen werden direkt von den Trainern beantwortet. Mikrofon und/oder Kamera sind optional, Sie können die Fragen auch über einen Chat stellen.

 

Kursbeschreibung

Angriffstechniken der Kategorie „Credential Theft“ und „Credential Reuse“ sind in den letzten Jahren zu einer der größten Bedrohungen für Microsoft Windows-Umgebungen herangewachsen. Begünstigt wurde diese Entwicklung in den letzten Monaten durch die signifikante Verbesserung und weite Verbreitung von Angriffstools, wie etwa mimikatz, Windows Credential Editor oder Bloodhound. Dies führte dazu, dass bis dahin theoretisch mögliche Angriffe praktisch umsetzbar wurden. Nachdem ein Angreifer initial auf einem einzelnen System Fuß fassen konnte, dauert es, unter der Anwendung der vorher genannten Methoden, oft keine 48 Stunden, bis die gesamte Active Directory Infrastruktur, inklusive der Domain Administratoren Credentials, kompromittiert ist. Fehlerhafte Konfiguration von Active Directory-Trusts erlaubt es Angreifern, von einem Forest zum anderen zu springen. Doch wie ist mit einer solchen Bedrohung umzugehen? In diesem zweitägigen Intensivseminar werden verschiedene technische und organisatorische Maßnahmen vorgestellt, um sowohl einzelne kritische Microsoft Windows-Systeme, vom Mitgliedssystem bis zum Domain Controller, als auch hochpriveligierte Active Directory Accounts bestmöglich vor Credential Theft zu schützen und den unautorisierten Einsatz gestohlener Credentials möglichst frühzeitig zu erkennen und zu unterbinden.

Das Seminar beginnt mit einer kurzen Einführung, in der die Relevanz und Tragweite von Credential Theft und Credential Reuse verdeutlicht werden und wie sich die Denkweise aus Verteidigersicht ändern muss, um diese Bedrohungen effektiv adressieren zu können. Nach dieser Einleitung wird technisch tiefer eingestiegen und die Grundlagen von Authentifizierungsmechanismen in Microsoft Windows-Umgebungen werden auf profunde Art und Weise beleuchtet. Schwerpunkte sind hierbei vor allem die Rolle des Local Security Authority Subsystem (LSASS) und das Zusammenspiel mit dem NTLM- und Kerberos-Protokoll sowohl in Bezug auf die lokale Authentifizierung als auch auf die Kerberos-basierte Netzwerkauthentifizierung. Insbesondere die Funktionsweise von Kerberos und seine Implementierung in Active Directory, sowie wie dies von einem kompetenten und motivierten Angreifer ausgenutzt werden kann, werden im Detail erläutert.

Aufbauend auf diesem Wissen können dann die relevanten Schwachstellen und Bedrohungen, inklusive ihrer resultierenden Angriffsszenarien verstanden werden. Weitergehend werden verschiedene Angriffstechniken vorgestellt, die am zweiten Tag dann praktisch umgesetzt werden: Diese reichen vom vergleichsweise einfachen Pass-the-Hash zu komplexen Arten wie dem sog. „Golden Ticket“. Anhand praktischer Übungen werden die relevanten Angriffe von den Teilnehmern durchgeführt, um ein Grundverständnis für die Angreiferseite zu vermitteln:

  • Pass-the-Hash
  • Pass-the-Ticket
  • Overpass-the-Hash/Pass-the-Key
  • Golden, Silver & Inter Realm Tickets

Nachdem die Bedrohungen und Risiken näher eingegrenzt wurden, werden Maßnahmen vorgestellt und diskutiert, um die Effektivität von Credential Theft und Credential Reuse einzuschränken. Diese setzen sowohl auf der Designebene als auch auf prozessualer und technischer Ebene an. Zu den wichtigsten Maßnahmen zählen hierbei:

  • Admin Tiering /Credential Partitioning
  • Sichere Administration
  • Sichere Konfiguration von Trusts
  • Credential Guard
  • Authentication Policy Silos
  • Security Monitoring
  • u.v.m.

Auch auf Windows Server 2016 und Windows 10 spezifische neue Kontrollen, wie Credential Guard und Device Guard wird eingegangen werden.

Bei der Diskussion der Maßnahmen wird sowohl auf ihre Wirksamkeit als auch die Umsetzbarkeit im realen Betrieb eingegangen. Besonderes Augenmerk wird hierbei auf das Security Monitoring im Active Directory gelegt, da dieses eine entscheidende Rolle in der Erkennung und Risikominimierung von Credential Reuse Angriffen spielt. Dabei wird nicht nur das Active Directory Auditing durch das Security Event Logging beleuchtet, sondern auch wie ganz spezifisch Pass-the-Hash oder Golden Ticket Angriffe erkannt werden können.

Begleitet wird der Vortrag des Seminars von praktischen Übungen und Demonstrationen, um das Theoretische zu veranschaulichen und das Gelernte anzuwenden.

 

Seminarinhalte

Tag 1

Einführung

  • Relevanz und Aktualität von Credential Theft und Credential Reuse
  • Grundlagen der Windows Authentifizierung
  • Security Subsystem Architecture in Windows
  • Local Security Authority Subsystem Service
  • Lokale Authentifizierung
  • LM/NTLM Netzwerkauthentifizierung
  • Kerberos Netzwerkauthentifizierung

Credential Theft & Reuse Angriffe

  • Einführung in mimikatz
  • Pass-the-Hash
  • Pass-the-Ticket
  • Overpass-the-Hash/Pass-the-Key
  • Golden & Silver Ticket
  • PtT in Ubuntu und Mac OS X

Praktische Übungen zu allen genannten Angriffstechniken

Erster Überblick über die relevanten Maßnahmen zur Risikominimierung

  • Reorganisation der Active Directory Struktur und Administrationspraktiken
  • Technische, Credential-Theft-spezifische Maßnahmen
  • Security Monitoring & Logging

 

Tag 2

Detaillierte Betrachtung und Diskussion der relevanten Maßnahmen zur Risikominimierung

  • Voraussetzungen
  • Organisation- und Designmaßnahmen
    • Admin Tiering
    • ESAE Forest
  • Technische Maßnahmen
    • Sichere Administrationshosts
    • Sichere Konfiguration von Domain Controller & Domain-Membern
    • Credential-Theft-spezifische Maßnahmen
    • Neue Kontrollen eingeführt mit Windows Server 2016 und Windows 10

Active Directory Monitoring

  • Überblick über das Windows Event Logging
  • Allgemeine Monitoring-Maßnahmen
  • Zentralisiertes Logging
  • Grundlagen der Advanced Audit Policy
  • Spezifische Monitoring-Maßnahmen
    • Konkrete, zu auditierende Events
      • Account-Nutzung
      • Software-Installation
      • Dienst-Installation
      • Registry-Auditing
    • Erkennung von PtH, PtT und Golden Tickets

Praktische Übung zur Erstellung einer Advanced Audit Policy

 

HM TRAINING SOLUTIONS ON-SITE SERVICE

Alle HM Training Solutions Seminare stehen auch firmenintern zur Verfügung. Sie können auf den Bedarf Ihrer Organisation zuge schnitten werden. Weitere Details erhalten Sie unter der Telefonnummer +49 (0) 6022 508 200.

 

Warum Sie teilnehmen sollten

Das Seminar versetzt Sie damit in die Lage, folgende Fragen qualifiziert zu beantworten:

  • Welche Bedrohungen gehen von Credential Theft & Credential Reuse aus und welche Risiken ergeben sich daraus?
  • Welche Maßnahmen mindern bestmöglich die Effektivität von Credential Theft- und Credential Reuse-basierten Bedrohungen in Active Directory-Umgebungen?
  • Welche Maßnahmen führen zu einer möglichst frühzeitigen Erkennung von Credential Theft und Credential Reuse?
  • Welche Aufwände und Kosten bringen Implementierung und Betrieb dieser Maßnahmen mit sich?
  • Wie kann EMET effektiv in der Unternehmensinfrastruktur eingesetzt werden?

 

Profile der Seminarleiter

Der Workshop wird von zwei der vier genannten Referenten gehalten.

Ihr Trainer Friedwart KuhnIhr Trainer, Friedwart Kuhn ist ein führender Experte im Bereich von Windows Sicherheit im Allgemeinen und Active Directory-Sicherheit im Besonderen. Er kennt das Active Directory seit es auf dem Markt ist und hat in über 15 Jahren eine Vielzahl von Projekten um die Themen Windows und Active Directory Sicherheit geleitet. Seine Aufgabentätigkeit um fasst alle Projektaspekte vom sicheren Design bis zum sicheren Betrieb von großen Microsoft-Umgebungen. Herr Kuhn arbeitet schwerpunktmäßig im Bereich des Security Assessments von Microsoft-basierten Umgebungen, und ist dort als Pentester sowohl auf der Angreiferseite als auch als Auditor und Consultant auf der Verteidigerseite tätig. Seine jahrelange Referententätigkeit, aber auch sein technischer Hintergrund ermöglichen es ihm, auf Schulungen allen Beteiligten technische aber auch organisatorische Sachverhalte einfach nahe zu bringen. Als Sprecher auf internationalen Sicherheitskonferenzen und -kongressen vermittelt er komplexe sicherheitsrelevante Themen auf eine anschauliche und verständliche Art und Weise. Friedwart Kuhn ist Mitinhaber der ERNW GmbH und leitet ein eigenes Team von ausgewiesenen Sicherheitsexperten.

Ihr Trainer Rene MathesIhr Trainer, René Mathes ist langjähriger Auditor und Penetrationstester. Im Rahmen seiner Tätigkeit als IT-Security Consultant berät er seit über 10 Jahren ein umfassendes Portfolio unterschiedlichster Kunden: Mittelstand bis weltweit aufgestellte „Global Player“, Werbung bis Schwerindustrie. Als Tutor entwickelt er Workshops, die er deutschlandweit zum Beispiel für Teilnehmer aus der Welt der Finanzen hält.

Ihr Trainer Heinrich WiederkehrIhr Trainer, Heinrich Wiederkehr ist Security Consultant bei der ERNW GmbH und Teil des Microsoft Security Team@ERNW. Seine Schwerpunkte liegen in der Forschung sowie der Konzeption und Bewertung verschiedener Bereiche von Windows-Umgebungen. Neben Sicherheitstrainings konzentriert sich seine Arbeit auf Audits und Pentests von großen Unternehmensnetzwerken mit dem Schwerpunkt Active Directory.

Ihr Trainer, Lennart Brauns ist Security Consultant bei der ERNW GmbH und Teil des Microsoft Security Teams @ ERNW. In langjähriger Tätigkeit für Unternehmen der kritischen Infrastruktur hat Herr Brauns umfassende Kenntnisse über Microsoft Windows, Active Directory und Microsoft Azure erworben. Seine Schwerpunkte liegen in der Forschung sowie der Konzeption und Bewertung verschiedener Bereiche von Windows-Umgebungen. Neben Sicherheitstrainings konzentriert sich
seine Arbeit auf Audits und Pentests von Unternehmensnetzwerken mit dem Schwerpunkt Active Directory.

Dateien zum herunterladen


Tags

Kontakt

+49 6022 508-200
E-mail: info@hm-ts.de

HM Training Solutions
Falkenstraße 6
63820 Elsenfeld

Newsletter

Wenn Sie unsere Newsletter erhalten möchten, tragen Sie hier Ihren Daten ein.
Ich akzeptiere die Allgemeinen Geschäftsbedingungen und die Datenschutzerklärung