Das Training beleuchtet gängige Angriffstechniken in einer Domäne, sowie die Möglichkeiten zur Absicherung ihrer AD-Umgebung und Härtungsmaßnahmen wie eine differenzierte Rechtevergabe sowie die Einrichtung verschiedener Verwaltungsebenen.
17.06.2026
09:30 Uhr
18.06.2026
18:00 Uhr
Oneconsult Deutschland AG
Elsenheimerstraße 65
80687 München
Deutschland
| Name |
|---|
| Mühlbauer, Joshua |
| Müller, Roman |
Preis brutto €1.666,00
inkl. 19,00% MwSt. entspr. €266,00
Preis netto €1.400,00
Beschreibung
Active Directory (AD) ist ein zentraler Bestandteil vieler Unternehmensnetze und beliebtes Ziel von Ransomware und anderen Angriffen. In diesem Training lernen Sie, wie Angreifer vorgehen und wie Sie ihre AD-Umgebung effektiv absichern.
Das Training beleuchtet:
· Angriffstechniken wie Pass the Hash, Delegierungsschwachstellen, Zertifikatsschwachstellen und Fehlkonfigurationen von Berechtigungen auf Objekten in einer Domäne.
· Möglichkeiten zur Absicherung ihrer AD-Umgebung, indem Sie Fehlkonfigurationen und Schwachstellen finden und beheben. Dabei helfen offensive Werkzeuge wie PowerView, Certify, und Bloodhound sowie Audit-Tools wie PingCastle.
· Härtungsmaßnahmen wie eine differenzierte Rechtevergabe sowie die Einrichtung verschiedener Verwaltungsebenen.
Aus Zeit- und Effizienzgründen führen Sie in diesem Intensivtraining keine praktischen Übungen durch. Der Referent gibt Empfehlungen und stellt Unterlagen bereit, auf deren Grundlage Sie im Nachgang eigenständig üben können.Oneconsult Deutschland AG
Elsenheimerstraße 65
80687 München
Deutschland
Anfahrtsbeschreibung
Inhalt
Grundlagen
- Authentifizierungsprotokolle: Kerberos und Net-NTLM
- Weitere im AD wichtige Protokolle wie DHCP, DNS, NetBIOS, LDAP und SMB
- Basis für Zugriffsentscheidungen: Access Token, Security Descriptor und Zugriffskontrolllisten (ACLs)
- Zugangsdaten: Passwörter, NT-Hashes, AES-Schlüssel, Tickets
- Ziele und Denkweise von Angreifern bei gezielten Angriffen oder Ransomware
Wie Angreifer vorgehen: Angriffe durchführen
- Informationssammlung im AD
- Typische Fehlkonfigurationen
- Weitere privilegierte Gruppen neben Domänenadmins
- Password Spraying und Net-NTLM-Relaying
- Kerberoasting und AS-REP Roasting
- Zugangsdaten auslesen mit Mimikatz und anderen Angriffswerkzeugen
- Zugangsdaten ausnutzen: (Over-)Pass the Hash, Pass the Key, Pass the Ticket
- Benutzerjagd und Seitwärtsbewegung (User Hunting und Lateral Movement)
- Unsichere Einträge in Zugriffskontrolllisten (ACLs) und Gruppenrichtlinien (GPOs)
- Uneingeschränkte, eingeschränkte und ressourcenbasiert-eingeschränkte Delegierung (RBCD)
- Angriffsoberfläche von SQL-Servern, Microsoft Exchange und Synchronisierung zu Azure Active Directory (AAD)
- Ausnutzen von Schwachstellen in Active-Directory-Zertifikatsdiensten (Active Directory Certificate Services, AD CS)
- Ausnutzen von Trusts zwischen Domänen (und Forests) – eine Domäne ist keine Sicherheitsgrenze
- Möglichkeiten zur Persistenz – wie Angreifer sich langfristig und unbemerkt festsetzen
Angriffe verhindern
- Initialen Zugriff erschweren
- Anwendungen einschränken mit AppLocker
- empfehlenswerte Einstellungen in Gruppenrichtlinien
- Local Administrator Password Solution (LAPS)
- Ebenenmodell und Least-Privilege-Prinzip
- Privileged Access Workstations (PAW)
- Zugangsdaten besser absichern durch Credential Guard
- administrative Benutzer und Dienstkonten schützen
- Audits der eigenen AD-Umgebung mit offensiven und defensiven Werkzeugen
Angriffe erkennen (DFIR)
- Scharfschalten von Log- und Auditeinstellungen
- Einrichten einer Analyse-Umgebung mit praktischen Open Source Tools
- Einführung in die Analyse relevanter Logdateien unter Windows
- Erkennen von Alarmsignalen
Referenten
Roman Müller: Roman testet seit 6 Jahren Active Directory Umgebungen in Pentests und Red Teamings und unterstützt Kunden bei der Umsetzung von Sicherheitsmaßnahmen. Er ist nach dem OSCP, OSEP und CRTM zertifiziert und vom BSI als zertifizierter Penetrationstester geprüft.
Joshua Mühlbauer: Joshua ist Senior Digital Forensics und Incident Response Specialist bei der Oneconsult Deutschland AG. Spezialisiert auf die Bereiche Malware-Analyse / Reverse Engineering, Incident Response, sowohl für IT als auch für OT führte er eine Vielzahl von DFIR-Einsätzen und Projekten durch.
Seit Ende 2025 unterstützt Joshua namhafte Kunden im Bereich Digital Forensics & Incident Response und im Rahmen von Security-Consulting-Mandaten. Er ist GIAC Certified Forensic Analyst (GCFA), GIAC Reverse Engineering Malware GREM und GIAC Response and Industrial Defense (GRID) zertifiziert