Praktyczne bezpieczeństwo Windows

Praktyczne szkolenie pokazujące realne problemy z bezpieczeństwem systemów Windows. Szkolenie zawiera około 60% ćwiczeń. W formie warsztatowej wskazywane są aktualne metody ataków na sieci Windows oraz wskazywane są metody ochrony. Szkolenie przeznaczone jest dla administratorów, osób monitorujących bezpieczeństwo sieci, pentesterów czy architektów bezpieczeństwa.

Czego dowie się uczestnik:

• Pozna realne problemy z bezpieczeństwem systemów Windows.
• Pozna aktualne metody ataków na sieci Windows oraz metody ochrony.

Jaką wiedzę powinien mieć uczestnik przed szkoleniem

Wskazane jest, aby uczestnik miał pewną ogólną biegłość w zarządzaniu systemami Windows, optymalnie – serwerami.

Do kogo skierowane jest szkolenie

• Do administratorów
• Do osób monitorujących bezpieczeństwo sieci
• Do pentesterów
• Do architektów bezpieczeństwa

Agenda

Architektura systemu

• Kernel / User -mode
• Procesy i wątki
• Serwisy systemowe
• Pamięć
• Filesystemy
• Sieciowość
• Rejestr Windows

Model bezpieczeństwa

• Tokeny i tożsamość (kontekst) obiektów

1. Idea
2. Kradzież tokenu
3. Budowanie tokenów
4. Kontekst LOCALSYSTEM

• ACLe

1. Sposób działania
2. Omijanie ACLi
3. ACLe dla obiektów innych niż pliki

• Przywileje systemowe

1. Użycie przywilejów systemowych do eskalacji uprawnień

Kryptografia w Windows

• DPAPI
• DPAPIng
• BitLocker
• Nieautoryzowane rozszyfrowywanie danych

Poświadczenia tożsamości (credentials)

• Pozyskiwanie hashy (lokalnie i z AD)
• Pozyskiwanie danych uwierzytelniających z mechanizmów zapisywania poświadczeń przez aplikacje
• Pozyskiwanie danych uwierzytelniających z transmisji sieciowej (SMB, SQL, https)
• Kradzież i budowanie tokenów (uzupełnienie do #2.a powyżej)
• Pozyskiwanie poświadczeń z pamięci operacyjnej
• Pass-the-Hash
• „Cached credentials”

Ataki offline

• Wykradanie danych (read only)

1. Techniki dostępu offline, w tym do snapshotów plików w działającym systemie
2. Pozyskiwanie zawartości rejestru
3. Pozyskiwanie zawartości AD
4. Dostęp do danych szyfrowanych / kluczy

• Modyfikacje środowiska (read / write)

1. Edycja rejestru
2. Zarządzanie użytkownikami
3. Ataki bazujące na utilman.exe
4. Inne techniki infekcji w trybie offline

• Serwisy systemowe
• DLLe
• Autostarty

Wbudowane mechanizmy zdalnego dostępu

• WMI
• WinRM
• Services API
• RDP
• SMB

Ataki na procesy

• Ataki oparte o DLL
• Wstrzykiwanie wątków
• Przechwytywanie wywołań systemowych (API Hooking)
• Ataki na pamięć

Internet Information Services

• Model działania
• Użycie ataków na aplikacje webowe do przejęcia kontroli nad systemem
• Zacieranie śladów i omijanie typowych zabezpieczeń

Bezpieczeństwo Active Directory

• Ataki wykorzystujące Kerberos
• Podatności związane z uprawnieniami w usłudze katalogowej
• Podatności związane z hasłami w GPO/GPP
• Ataki wykorzystujące plik ntds.dit
• DCSync

SQL Server jako wektor ataku PowerShell

• Podstawy języka i środowiska
• Dostęp do .NET i Win32 API
• Omijanie zabezpieczeń przed złośliwymi skryptami
• Narzędzia oparte o PowerShell (w tym PowerSploit)

Pozostałe informacje

• Szkolenie będzie trwało jeden dzień i odbędzie się on-line; wystarczy komputer z dostępem do internetu.
• Godziny: 9:00 – 17:00
• [UWAGA!] Link/Linki do szkolenia wysyłamy najpóźniej do dwóch dni przed szkoleniem w osobnej wiadomości, na podanego podczas rejestracji maila. Jeżeli nie dostałeś linka to napisz na szkolenia@securitum.pl podając numer zamówienia.

Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt: e-mail: szkolenia@securitum.pl, tel.: +48 516 824 029

Co zawiera cena szkolenia

• Udział w szkoleniu i dostęp do platformy szkoleniowej.
• Certyfikat ukończenia szkolenia (PDF).