Hardening Microsoft Environments - Training / Workshop von HM Training Solutions

Inhalte

Angriffstechniken der Kategorie „Credential Theft“ und „Credential Reuse“ sind in den letzten Jahren zu einer der größten Bedrohungen für Microsoft Windows-Umgebungen herangewachsen. Begünstigt wurde diese Entwicklung in den letzten Monaten durch die signifikante Verbesserung und weite Verbreitung von Angriffstools, wie etwa mimikatz oder Windows Credential Editor. Dies führte dazu, dass bis dahin theoretisch mögliche Angriffe praktisch umsetzbar wurden. Nachdem ein Angreifer initial auf einem einzelnen System Fuß fassen konnte, dauert es, unter der Anwendung der vorher genannten Methoden, oft keine 48 Stunden, bis die gesamte Active Directory Infrastruktur kompromittiert ist. Dochwie ist mit einer solchen Bedrohung umzugehen? In diesem zweitägigen Intensivseminar werden verschiedene technische und organisatorische Maßnahmen vorgestellt, um sowohl einzelne kritische Microsoft Windows-Systeme, als auch das gesamte Active Directory, bestmöglich vor Credential Theft zu schützen und den unautorisierten Einsatz gestohlener Credentials möglichst frühzeitig zu erkennen und zu unterbinden.

Das Seminar beginnt mit einer kurzen Einführung, in der die Relevanz und Tragweite von Credential Theft und Credential Reuse verdeutlicht werden und wie sich die Denkweise aus Verteidigersicht ändern muss, um diese Bedrohungen effektiv adressieren zu können. Nach dieser Einleitung wird technisch tiefer eingestiegen und die Grundlagen von Authentifizierungsmechanismen in Microsoft Windows Umgebungen werden auf profunde Art und Weise beleuchtet. Schwerpunkte sind hierbei vor allem dieRolle des Local Security Authority Subsystem (LSASS) und das Zusammenspiel mit dem NTLM- und Kerberos-Protokoll sowohl in Bezug auf die lokale Authentifizierung als auch auf die Kerberos-basierte Netzwerkauthentifizierung. Insbesondere die Funktionsweise von Kerberos und seiner Implementierungin Active Directory werden im Detail erläutert.

Aufbauend auf diesem Wissen können dann die relevanten Schwachstellen und Bedrohungen, inklusive ihrer resultierenden Angriffsszenarien verstanden werden. Weitergehend werden verschiedene Angriffstechniken vorgestellt: Diese reichen vom vergleichsweise einfachen Pass-the-Hash zu komplexen Arten wie dem sog. „Golden Ticket“. Anhand praktischer Übungen werden die relevanten Angriffe von den Teilnehmern durchgeführt, um ein Grundverständnis für die Angreiferseite zu vermitteln:

❑ Pass-the-Hash❑ Pass-the-Ticket❑ Overpass-the-Hash/Pass-the-Key❑ Golden & Silver Ticket

Nachdem die Bedrohungen und Risiken näher eingegrenzt wurden, werden Maßnahmen vorgestellt und diskutiert, um die Effektivität von Credential Theft und Credential Reuse einzuschränken. Diese setzen sowohl auf der Designebene als auch auf prozessualer und technischer Ebene an. Zu denwichtigsten Maßnahmen zählen hierbei:

❑ Credential Partioning❑ Sichere Administration❑ ESAE Forest❑ Authentication Policy Silos❑ Security Monitoring❑ u.v.m.

Bei der Diskussion der Maßnahmen wird sowohl auf ihre Wirksamkeit als auch die Umsetzbarkeit im realen Betrieb eingegangen. Besonderes Augenmerk wird hierbei auf das Security Monitoring im Active Directory gelegt, da dieses eineentscheidende Rolle in der Erkennung und Risikominimierung von Credential Reuse Angriffen spielt. Dabei wird nicht nur das Active Directory Auditing durch das Security Event Logging beleuchtet, sondern auch wie ganz spezifisch Pass-the-Hash oder Golden Ticket Angriffe erkannt werden können. Abgeschlossen wird das Seminar durch eine Einführung in das Enhanced Mitigation Experience Toolkit (EMET) von Microsoft, mit dessen Hilfe ein zusätzlicher Security Layergegen viele bekannte Angriffstechniken auf Windows Systemen eingezogen werden kann. Der Fokus bei der Behandlung von EMET liegt dabei auf Fragen zum Enterprise Einsatz wie Deployment und Betrieb auf Servern. Begleitet wird der Vortrag des Seminars von praktischen Übungen und Demonstrationen, um das Theoretische zu veranschaulichen und das Gelernte anzuwenden.

Seminarinhalte Tag 1

Einführung

● Relevanz und Aktualität von Credential Theft und Credential Reuse   Grundlagen der Windows Authentifizierung● Security Subsystem Architecture in Windows● Local Security Authority Subsystem Service● Lokale Authentifizierung● LM/NTLM Netzwerkauthentifizierung● Kerberos Netzwerkauthentifizierung

Credential Theft & Reuse Angriffe● Einführung in mimikatz● Pass-the-Hash● Pass-the-Ticket● Overpass-the-Hash/Pass-the-Key● Golden & Silver Ticket● PtT in Ubuntu und Mac OS X

Praktische Übungen zu allen genannten Angriffstechniken

Erster Überblick über die relevanten Maßnahmen zur Risikominimierung

● Reorganisation der Active Directory Struktur und Administrationspraktiken● Technische, Credential-Theft-spezifische Maßnahmen● Security Monitoring & Logging

Tag 2

Detaillierte Betrachtung und Diskussion der relevanten Maßnahmen zur Risikominimierung

● Voraussetzungen

● Organisation- und Designmaßnahmeno Admin Tieringo ESAE Forest

● Technische Maßnahmeno Sichere Administrationshostso Sichere Konfiguration von Domain Controller & Domain-Memberno Credential-Theft-spezifische Maßnahmen

Active Directory Monitoring● Überblick über das Windows Event Logging● Allgemeine Monitoring-Maßnahmeno Zentralisiertes Loggingo Grundlagen der Advanced Audit Policy● Spezifische Monitoring-Maßnahmeno Konkrete, zu auditierende Events– Account-Nutzung, Software-Installation, Dienstinstallation,…o Registry-Auditingo Erkennung von PtH, PtT und Golden Tickets

Praktische Übung zur Erstellung einer Advanced Audit Policy

Einführung in das Enhanced Mitigation ExperienceToolkit (EMET)● Voraussetzungen● Technische Möglichkeiten● Einsatz im Unternehmen● Konfiguration● Erfahrungen & Empfehlungen

 

Ihr Trainer, Friedwart Kuhn, ist ein führender Experte im Bereich von Windows-Sicherheit im Allgemeinen und Active Directory-Sicherheit im Besonderen. Er kennt das Active Directory seit es auf dem Markt ist und hat in über 15 Jahren eine Vielzahl von Projekten um die Themen Windows- und Active Directory-Sicherheit geleitet. Seine Aufgabentätigkeit umfasst alle Projektaspekte vom sicheren Design bis zum sicheren Betrieb von großen Microsoft-Umgebungen. Herr Kuhn arbeitet schwerpunktmäßig im Bereich des Security-Assessments vonMicrosoft-basierten Umgebun gen, und ist dort als Pentester sowohl auf der Angreifer seite als auch als Auditor und Consultant auf der Verteidigerseite tätig.Seine jahrelange Referententätigkeit,aber auch sein tech nischer Hintergrund ermöglichen es ihm, auf Schulungen allen Beteiligten technische aber auchorganisatorische Sachverhalte einfach nahe zu bringen. Als Sprecher auf internationalen Sicherheitskonferenzen und -kongressen vermittelt er komplexesicherheitsrelevante Themen auf eine anschauliche und verständliche Art und Weise. Friedwart Kuhn ist Mitinhaber der ERNW GmbH und leitet ein eigenesTeam von ausgewiesenen Sicherheitsexperten.

Lernziele

Das Seminar versetzt Sie damit in die Lage,folgende Fragen qualifiziert zu beant worten:

● Welche Bedrohungen gehen von CredentialTheft & Credential Reuse aus und welcheRisiken ergeben sich daraus?

● Welche Maßnahmen mindern bestmöglichdie Effektivität von Credential Theft- undCredential Reuse-basierten Bedrohungenin Active Directory-Umgebungen?

● Welche Maßnahmen führen zu einermöglichst frühzeitigen Erkennung vonCredential Theft und Credential Reuse?

● Welche Aufwände und Kosten bringenImplementierung und Betrieb dieserMaßnahmen mit sich?

● Wie kann EMET effektiv in der Unterneh -mensinfrastruktur eingesetzt werden?

 

Kursmaterial

● Eine umfassende Bewertung allerdiskutierten Maßnahmen hinsichtlich ihresSicherheitsgewinns, ihrer Umsetzbarkeitund ihrer Wirksamkeit hinsichtlichverschiedener Credential Theft- und Reuse-Bedrohungen.

● Ein ausführlicher Vorschlag für dieKonfiguration der Windows Advanced AuditPolicy.

● Übungsbeispiele für alle relevantenCredential Theft und Credential ReuseAngriffstechniken.

● Eine Empfehlung für die sichereKonfiguration von Windows Server-Systemen im Active Directory.

 

Zielgruppen

● IT-Sicherheitsbeauftragte● Windows & Active DirectoryAdministratoren● Projektmanager mit Sicherheitsfokus● Infrastruktur- und Systemarchitekten● Systemintegratoren● IT-Leiter & Datenschutzbeauftragte

 

 

 

Termine und Orte

Datum Uhrzeit Dauer Preis
Berlin, DE
25.09.2019 - 26.09.2019 09:30 - 16:30 Uhr 14 h Jetzt buchen ›
Düsseldorf, DE
27.11.2019 - 28.11.2019 09:30 - 16:30 Uhr 14 h Jetzt buchen ›
Wien, AT
05.06.2019 - 06.06.2019 09:30 - 16:00 Uhr 14 h Jetzt buchen ›

SG-Seminar-Nr.: 1629236

Anbieter-Seminar-Nr.: M63

Termine

  • 05.06.2019 - 06.06.2019

    Wien, AT

  • 25.09.2019 - 26.09.2019

    Berlin, DE

  • 27.11.2019 - 28.11.2019

    Düsseldorf, DE

Preise inkl. MwSt. Es können Gebühren anfallen. Für eine exakte Preisauskunft wählen Sie bitte einen Termin aus.

Jetzt buchen ›
Seminar merken ›

Sie buchen immer automatisch den besten Preis für jeden Termin. Semigator berücksichtigt

  • Frühbucher-Preise
  • Last-Minute-Preise
  • Gruppenkonditionen

und verfügt über Sonderkonditionen mit einigen Anbietern.

Der Anbieter ist für den Inhalt verantwortlich.

Über Semigator mehr erfahren

  • Anbietervergleich von über 1.500 Seminaranbietern
  • Vollständige Veranstaltungsinformationen
  • Schnellbuchung
  • Persönlicher Service
Datum Uhrzeit Dauer Preis
Berlin, DE
25.09.2019 - 26.09.2019 09:30 - 16:30 Uhr 14 h Jetzt buchen ›
Düsseldorf, DE
27.11.2019 - 28.11.2019 09:30 - 16:30 Uhr 14 h Jetzt buchen ›
Wien, AT
05.06.2019 - 06.06.2019 09:30 - 16:00 Uhr 14 h Jetzt buchen ›