Praktyczne bezpieczeństwo Windows

Praktyczne szkolenie pokazujące realne problemy z bezpieczeństwem systemów Windows. Szkolenie zawiera około 60% ćwiczeń. W formie warsztatowej wskazywane są aktualne metody ataków na sieci Windows oraz wskazywane są metody ochrony.

Szkolenie przeznaczone jest dla administratorów, osób monitorujących bezpieczeństwo sieci, pentesterów czy architektów bezpieczeństwa.

Architektura systemu

• Kernel / User -mode
• Procesy i wątki
• Serwisy systemowe
• Pamięć
• Filesystemy
• Sieciowość
• Rejestr Windows

Model bezpieczeństwa

• Tokeny i tożsamość (kontekst) obiektów
  i. Idea
  ii. Kradzież tokenu
  iii. Budowanie tokenów
  iv. Kontekst LOCALSYSTEM
• ACLe
  i. Sposób działania
  ii. Omijanie ACLi
  iii. ACLe dla obiektów innych niż pliki
• Przywileje systemowe
  i. Użycie przywilejów systemowych do eskalacji uprawnień

Kryptografia w Windows

• DPAPI
• DPAPIng
• BitLocker
• Nieautoryzowane rozszyfrowywanie danych

Poświadczenia tożsamości (credentials)

• Pozyskiwanie hashy (lokalnie i z AD)
• Pozyskiwanie danych uwierzytelniających z mechanizmów zapisywania poświadczeń przez aplikacje
• Pozyskiwanie danych uwierzytelniających z transmisji sieciowej (SMB, SQL, https)
• Kradzież i budowanie tokenów (uzupełnienie do #2.a powyżej)
• Pozyskiwanie poświadczeń z pamięci operacyjnej
• Pass-the-Hash
• „Cached credentials”

Ataki offline

• Wykradanie danych (read only)
  i. Techniki dostępu offline, w tym do snapshotów plików w działającym systemie
  ii. Pozyskiwanie zawartości rejestru
  iii. Pozyskiwanie zawartości AD
  iv. Dostęp do danych szyfrowanych / kluczy
• Modyfikacje środowiska (read / write)
  i. Edycja rejestru
  ii. Zarządzanie użytkownikami
  iii. Ataki bazujące na utilman.exe
  iv. Inne techniki infekcji w trybie offline
• Serwisy systemowe
• DLLe
• Autostarty

Wbudowane mechanizmy zdalnego dostępu

• WMI
• WinRM
• Services API
• RDP
• SMB

Ataki na procesy

• Ataki oparte o DLL
• Wstrzykiwanie wątków
• Przechwytywanie wywołań systemowych (API Hooking)
• Ataki na pamięć

Internet Information Services

• Model działania
• Użycie ataków na aplikacje webowe do przejęcia kontroli nad systemem
• Zacieranie śladów i omijanie typowych zabezpieczeń

Bezpieczeństwo Active Directory

• Ataki wykorzystujące Kerberos
• Podatności związane z uprawnieniami w usłudze katalogowej
• Podatności związane z hasłami w GPO/GPP
• Ataki wykorzystujące plik ntds.dit
• DCSync

SQL Server jako wektor ataku

PowerShell

• Podstawy języka i środowiska
• Dostęp do .NET i Win32 API
• Omijanie zabezpieczeń przed złośliwymi skryptami
• Narzędzia oparte o PowerShell (w tym PowerSploit)

Pozostałe informacje

Do szkolenia wymagany jest laptop (wymagany VirtualBox, minimum 15 GB wolnego miejsca na HDD i 4 GB wolnej pamięci RAM)

Cena szkolenia

Cena dwudniowego szkolenia wynosi 2150 PLN netto / osobę i zawiera:

• Udział w szkoleniu.
• Obiad w trakcie każdego dnia trwania szkolenia.
• Dostępne w trakcie szkolenia: kawa, herbata, woda, ciasteczka.
• Certyfikat ukończenia szkolenia.

Kontakt

Więcej informacji można uzyskać kontaktując się z nami e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337