Praktyczne bezpieczeństwo Windows

Praktyczne szkolenie pokazujące realne problemy z bezpieczeństwem systemów Windows. Szkolenie zawiera około 60% ćwiczeń. W formie warsztatowej wskazywane są aktualne metody ataków na sieci Windows oraz wskazywane są metody ochrony. Szkolenie przeznaczone jest dla administratorów, osób monitorujących bezpieczeństwo sieci, pentesterów czy architektów bezpieczeństwa.

Architektura systemu

• Kernel / User -mode
• Procesy i wątki
• Serwisy systemowe
• Pamięć
• Filesystemy
• Sieciowość
• Rejestr Windows

Model bezpieczeństwa

• Tokeny i tożsamość (kontekst) obiektów i. Idea ii. Kradzież tokenu iii. Budowanie tokenów iv. Kontekst LOCALSYSTEM
• ACLe i. Sposób działania ii. Omijanie ACLi iii. ACLe dla obiektów innych niż pliki
• Przywileje systemowe i. Użycie przywilejów systemowych do eskalacji uprawnień

Kryptografia w Windows

• DPAPI
• DPAPIng
• BitLocker
• Nieautoryzowane rozszyfrowywanie danych

Poświadczenia tożsamości (credentials)

• Pozyskiwanie hashy (lokalnie i z AD)
• Pozyskiwanie danych uwierzytelniających z mechanizmów zapisywania poświadczeń przez aplikacje
• Pozyskiwanie danych uwierzytelniających z transmisji sieciowej (SMB, SQL, https)
• Kradzież i budowanie tokenów (uzupełnienie do #2.a powyżej)
• Pozyskiwanie poświadczeń z pamięci operacyjnej
• Pass-the-Hash
• „Cached credentials”

Ataki offline

• Wykradanie danych (read only) i. Techniki dostępu offline, w tym do snapshotów plików w działającym systemie ii. Pozyskiwanie zawartości rejestru iii. Pozyskiwanie zawartości AD iv. Dostęp do danych szyfrowanych / kluczy
• Modyfikacje środowiska (read / write) i. Edycja rejestru ii. Zarządzanie użytkownikami iii. Ataki bazujące na utilman.exe iv. Inne techniki infekcji w trybie offline
• Serwisy systemowe
• DLLe
• Autostarty

Wbudowane mechanizmy zdalnego dostępu

• WMI
• WinRM
• Services API
• RDP
• SMB

Ataki na procesy

• Ataki oparte o DLL
• Wstrzykiwanie wątków
• Przechwytywanie wywołań systemowych (API Hooking)
• Ataki na pamięć

Internet Information Services

• Model działania
• Użycie ataków na aplikacje webowe do przejęcia kontroli nad systemem
• Zacieranie śladów i omijanie typowych zabezpieczeń

Bezpieczeństwo Active Directory

• Ataki wykorzystujące Kerberos
• Podatności związane z uprawnieniami w usłudze katalogowej
• Podatności związane z hasłami w GPO/GPP
• Ataki wykorzystujące plik ntds.dit
• DCSync

SQL Server jako wektor ataku

PowerShell

• Podstawy języka i środowiska
• Dostęp do .NET i Win32 API
• Omijanie zabezpieczeń przed złośliwymi skryptami
• Narzędzia oparte o PowerShell (w tym PowerSploit)

Pozostałe informacje

Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia. Do szkolenia wymagany jest laptop z dowolnym systemem operacyjnym (wymagany VirtualBox, minimum 15 GB wolnego miejsca na HDD i 4 GB wolnej pamięci RAM), stabilny internet i słuchawki z mikrofonem.

Cena szkolenia

Cena katalogowa dwudniowego szkolenia wynosi 2399 PLN netto / osobę

• Udział w szkoleniu i dostęp do platformy szkoleniowej.
• Certyfikat ukończenia szkolenia (PDF).

Kontakt

Więcej informacji można uzyskać kontaktując się z nami e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337