Master Class: Securing Active Directory Deep Dive LEVEL 3SADDD-L3MTMaster ClassMT-SADDD-L31.0<ul> <li>Abschluss von <span class="cms-link-marked"><a class="fl-href-prod" href="/swisscom/course/masterclass-saddd-l1"><svg role="img" aria-hidden="true" focusable="false" data-nosnippet class="cms-linkmark"><use xlink:href="/css/img/icnset-linkmarks.svg#linkmark"></use></svg>Master Class: Securing Active Directory Deep Dive <span class="fl-prod-pcode">(SADDD-L1)</span></a></span> oder gleichwertige Kenntnisse</li><li>Abschluss von <span class="cms-link-marked"><a class="fl-href-prod" href="/swisscom/course/masterclass-saddd-l2"><svg role="img" aria-hidden="true" focusable="false" data-nosnippet class="cms-linkmark"><use xlink:href="/css/img/icnset-linkmarks.svg#linkmark"></use></svg>Master Class: Securing Active Directory Deep Dive LEVEL 2 <span class="fl-prod-pcode">(SADDD-L2)</span></a></span> oder gleichwertige Kenntnisse</li><li>Praktische Erfahrung mit Active Directory Administration und Gruppenrichtlinien</li><li>Grundkenntnisse in PowerShell-Scripting</li><li>Verst&auml;ndnis von Kerberos, NTLM und grundlegenden AD-Angriffsvektoren (Pass-the-Hash, Golden Ticket)</li></ul><h5>ACL-basierte Angriffe</h5><ul> <li>Theorie: ACL-Abuse-Pfade im &Uuml;berblick</li><li>Live-Lab: ACL-Abuse-Kette vollst&auml;ndig durchf&uuml;hren</li><li>Tooling</li></ul><h5>Kerberos Delegation &ndash; der vollst&auml;ndige Guide</h5><ul> <li>Unconstrained Delegation &ndash; Printer Bug &amp; Coercion</li><li>Resource-Based Constrained Delegation (RBCD) &ndash; Angriff via MachineAccountQuota</li></ul><h5>NTLM Relay &ndash; immer noch t&ouml;dlich</h5><ul> <li>Angriffskette: Coercion + NTLM Relay gegen LDAP</li><li>Vollst&auml;ndige H&auml;rtung &ndash; priorisierte Reihenfolge</li></ul><h5>Persistenz-Mechanismen im AD &ndash; der vollst&auml;ndige Katalog</h5><ul> <li>AdminSDHolder als Backdoor</li><li>GPO-Hijacking als Persistenz</li></ul><h5>Detection Engineering f&uuml;r Active Directory</h5><ul> <li>Advanced Audit Policy &ndash; vollst&auml;ndige Konfiguration</li><li>Sysmon-Konfiguration f&uuml;r Dom&auml;nencontroller</li></ul><h5>Honey Tokens, Canary Accounts &amp; Deception</h5><ul> <li>Honey Accounts &ndash; Attribute die Angreifer anlocken</li><li>Canary-Objekte f&uuml;r BloodHound-Erkennung</li></ul><h5>Purple Teaming f&uuml;r Active Directory</h5><ul> <li>Assumed Breach &Uuml;bung &ndash; Ablauf</li></ul><h5>Incident Response f&uuml;r Active Directory</h5><ul> <li>Die ersten 2 Stunden: Triage</li><li>Persistenz-Suche &ndash; PowerShell-Befehle</li></ul><h5>Tiered Administration &ndash; Betrieb und Reifegradmodell</h5><ul> <li>Authentication Policies und Authentication Silos</li><li>Break-Glass / Notfall-Admin-Zugriff</li></ul><h5>Netzwerksicherheit rund um AD</h5><ul> <li>DHCPv6 / IPv6 &ndash; das untersch&auml;tzte Risiko</li><li>Null Sessions und anonyme LDAP-Abfragen</li></ul><h5>Notes from the field: Was als n&auml;chstes kommt</h5><ul> <li>Windows LAPS (neue Generation) &ndash; Migration von Legacy LAPS</li><li>Kerberos AES-Only &ndash; RC4 vollst&auml;ndig deaktivieren</li></ul>- Abschluss von Master Class: Securing Active Directory Deep Dive (SADDD-L1) oder gleichwertige Kenntnisse - Abschluss von Master Class: Securing Active Directory Deep Dive LEVEL 2 (SADDD-L2) oder gleichwertige Kenntnisse - Praktische Erfahrung mit Active Directory Administration und Gruppenrichtlinien - Grundkenntnisse in PowerShell-Scripting - Verständnis von Kerberos, NTLM und grundlegenden AD-Angriffsvektoren (Pass-the-Hash, Golden Ticket)ACL-basierte Angriffe - Theorie: ACL-Abuse-Pfade im Überblick - Live-Lab: ACL-Abuse-Kette vollständig durchführen - Tooling Kerberos Delegation – der vollständige Guide - Unconstrained Delegation – Printer Bug & Coercion - Resource-Based Constrained Delegation (RBCD) – Angriff via MachineAccountQuota NTLM Relay – immer noch tödlich - Angriffskette: Coercion + NTLM Relay gegen LDAP - Vollständige Härtung – priorisierte Reihenfolge Persistenz-Mechanismen im AD – der vollständige Katalog - AdminSDHolder als Backdoor - GPO-Hijacking als Persistenz Detection Engineering für Active Directory - Advanced Audit Policy – vollständige Konfiguration - Sysmon-Konfiguration für Domänencontroller Honey Tokens, Canary Accounts & Deception - Honey Accounts – Attribute die Angreifer anlocken - Canary-Objekte für BloodHound-Erkennung Purple Teaming für Active Directory - Assumed Breach Übung – Ablauf Incident Response für Active Directory - Die ersten 2 Stunden: Triage - Persistenz-Suche – PowerShell-Befehle Tiered Administration – Betrieb und Reifegradmodell - Authentication Policies und Authentication Silos - Break-Glass / Notfall-Admin-Zugriff Netzwerksicherheit rund um AD - DHCPv6 / IPv6 – das unterschätzte Risiko - Null Sessions und anonyme LDAP-Abfragen Notes from the field: Was als nächstes kommt - Windows LAPS (neue Generation) – Migration von Legacy LAPS - Kerberos AES-Only – RC4 vollständig deaktivieren3 Tage3890.003890.003890.00