Scroll Top

AD Security – On-Premise Authentication (OPA)

AD Security – On-Premise Authentication (OPA)

Zielgruppe

Dauer

Das Onlineseminar dauert 105 Minuten

(2 x 45 Minuten und dazwischen 15 Minuten Pause)

Level

Hohe Komplexität

Zusätzliche Werkzeuge

Die Schulungsteilnehmer erhalten eine Tasche, Kugelschreiber und einen Block nach Eingang der Kursgebühr per Post.

Preis

250,00€ exkl. MwSt.

Termine

Auf Anfrage:
Telefon: +49 7319 53495-0 oder
E-Mail: info@iqunit.com

Active Directory Security – On-Premise Authentication

Dieses Remote-Event führt Sie in die verschiedenen Authentifizierungsmechanismen von Active Directory (ab 2008) ein. Neben NTLM, NTLMv2 und KerberosV5 erfahren Sie zusätzlich welche Probleme und Angriffsvektoren jede Art der Authentifizierung mit sich bringt. Für fast jeden Angriffsvektor werden Ihnen konkrete technische Maßnamen an die Hand gegeben um zumindest das Zeitfenster für den jeweiligen Vektor zu schmälern.

Übersicht zum OnlineSeminar

Authentifizierung und Autorisierung sind zwei Kernfunktionen welche ein Active Directory seinen Devices und Anwendern bietet. Je mehr Sie als IT-Spezialist über diese Mechanismen wissen, desto besser. Wir schauen uns zu Beginn die drei verschiedenen Arten der Authentifizierung im Active Directory an: NTLMv1, NTLMv2 und KerberosV5. Immer unter der Prämisse: wo liegt das Konto, wer prüft die Identität und welche dritten Systeme werde hier ggf. noch dazu heran gezogen.

NTLMv1 und NTLMv2 sind nicht mehr so ganz “state of the art”, werden jedoch noch erschreckend häufig verwendet. Das bedeutet wird werden messen müssen, wieviel NTLM-Authentifizierungen liegen überhaupt noch an Systemen an und welche “Geschmacksrichtung” von NTLMv1 ist es überhaupt. Kann ich nicht NTLMv1 abschalten und zumindest auf NTLMv2 setzen?

Bei KerberosV5 gibt es etwas mehr zu tun, vielleicht weil dieses Protokoll weniger proprietär ist als NTLM, wenn auch ähnlich alt. Bei KerberosV5 müssen zuerst die verschiedenen Verschlüsselungs- und Signatur-Algorithmen betrachtet werden. RC4 (2000 Active Directory), AES128 (2008 Active Directory) und AES256 (2008 Active Directory) sind zwar verfügbar, doch RC4 ist in Zeiten von Kerberoasting keine gute Entscheidung mehr. Anhand eines einer neu installierten 2019-Gesamtstruktur kann gezeigt werden, welche Gefahren die RC4-Verschlüsselung in sich birgt.

Leider schützt eine AES128- oder AES256-Verschüsselung nicht vor den gängigen Angriffsvektoren auf KerberosV5 / Active Directory: Pass-the-Hash (PtH) und Pass-the-Ticket (PtT). Wir müssen daher ausprobieren, wie man diese Vektoren benutzt (was sind die Voraussetzungen dazu) und welche Konsequenzen (Silver-Ticket / Golden-Ticket) zieht dieses nach sich.

Die Verwendung von solchen Silver- oder Golden-Ticket zeigt abschließen die komplette Verwundbarkeit des Active Directory durch die Schwachstelle KerberosV5 auf. Das bedeutet aber, wir benötigen Antworten zu den Angriffsvektoren.

Details zum Workshop

Block 1: Authentifizierung im AD

  • NTLMv1
  • NTLMv2
  • KerberosV5
  • Token based*

Block 2: Kerberosv5 encryption

  • RC4
  • AES128
  • AES256
  • Future encryption types

Block 3: Schwachstellen von KerberosV5 bei AD

  • Pass-the-Hash
  • Pass-the-Ticket
  • Golden-Ticket
  • Silver-Ticket

Block 4: Absichern der Authentifizierung

  • RC4-Verschlüsselung Abschalten
  • AES-Verschlüsselung bei Dienstkonten aktivieren
  • Kennwort des krbtgt-Konto regelmäßig ändern
  • Kennwörter der Domain Controller schneller ändern lassen