AD Security – On-Premise Authentication (OPA)
Zielgruppe
- erfahrene Administratoren von Active Directory
- Ergänzung durch hardening LDAP channel binding
Dauer
Das Onlineseminar dauert 105 Minuten
(2 x 45 Minuten und dazwischen 15 Minuten Pause)
Level
Hohe Komplexität
Zusätzliche Werkzeuge
Die Schulungsteilnehmer erhalten eine Tasche, Kugelschreiber und einen Block nach Eingang der Kursgebühr per Post.
Preis
250,00€ exkl. MwSt.
Termine
Auf Anfrage:
Telefon: +49 7319 53495-0 oder
E-Mail: info@iqunit.com
Mehr Infos
Active Directory Security – On-Premise Authentication
Dieses Remote-Event führt Sie in die verschiedenen Authentifizierungsmechanismen von Active Directory (ab 2008) ein. Neben NTLM, NTLMv2 und KerberosV5 erfahren Sie zusätzlich welche Probleme und Angriffsvektoren jede Art der Authentifizierung mit sich bringt. Für fast jeden Angriffsvektor werden Ihnen konkrete technische Maßnamen an die Hand gegeben um zumindest das Zeitfenster für den jeweiligen Vektor zu schmälern.
Übersicht zum OnlineSeminar
Authentifizierung und Autorisierung sind zwei Kernfunktionen welche ein Active Directory seinen Devices und Anwendern bietet. Je mehr Sie als IT-Spezialist über diese Mechanismen wissen, desto besser. Wir schauen uns zu Beginn die drei verschiedenen Arten der Authentifizierung im Active Directory an: NTLMv1, NTLMv2 und KerberosV5. Immer unter der Prämisse: wo liegt das Konto, wer prüft die Identität und welche dritten Systeme werde hier ggf. noch dazu heran gezogen.
NTLMv1 und NTLMv2 sind nicht mehr so ganz “state of the art”, werden jedoch noch erschreckend häufig verwendet. Das bedeutet wird werden messen müssen, wieviel NTLM-Authentifizierungen liegen überhaupt noch an Systemen an und welche “Geschmacksrichtung” von NTLMv1 ist es überhaupt. Kann ich nicht NTLMv1 abschalten und zumindest auf NTLMv2 setzen?
Bei KerberosV5 gibt es etwas mehr zu tun, vielleicht weil dieses Protokoll weniger proprietär ist als NTLM, wenn auch ähnlich alt. Bei KerberosV5 müssen zuerst die verschiedenen Verschlüsselungs- und Signatur-Algorithmen betrachtet werden. RC4 (2000 Active Directory), AES128 (2008 Active Directory) und AES256 (2008 Active Directory) sind zwar verfügbar, doch RC4 ist in Zeiten von Kerberoasting keine gute Entscheidung mehr. Anhand eines einer neu installierten 2019-Gesamtstruktur kann gezeigt werden, welche Gefahren die RC4-Verschlüsselung in sich birgt.
Leider schützt eine AES128- oder AES256-Verschüsselung nicht vor den gängigen Angriffsvektoren auf KerberosV5 / Active Directory: Pass-the-Hash (PtH) und Pass-the-Ticket (PtT). Wir müssen daher ausprobieren, wie man diese Vektoren benutzt (was sind die Voraussetzungen dazu) und welche Konsequenzen (Silver-Ticket / Golden-Ticket) zieht dieses nach sich.
Die Verwendung von solchen Silver- oder Golden-Ticket zeigt abschließen die komplette Verwundbarkeit des Active Directory durch die Schwachstelle KerberosV5 auf. Das bedeutet aber, wir benötigen Antworten zu den Angriffsvektoren.
Details zum Workshop
Block 1: Authentifizierung im AD
- NTLMv1
- NTLMv2
- KerberosV5
- Token based*
Block 2: Kerberosv5 encryption
- RC4
- AES128
- AES256
- Future encryption types
Block 3: Schwachstellen von KerberosV5 bei AD
- Pass-the-Hash
- Pass-the-Ticket
- Golden-Ticket
- Silver-Ticket
Block 4: Absichern der Authentifizierung
- RC4-Verschlüsselung Abschalten
- AES-Verschlüsselung bei Dienstkonten aktivieren
- Kennwort des krbtgt-Konto regelmäßig ändern
- Kennwörter der Domain Controller schneller ändern lassen