Kursüberblick
Dieser Kurs setzt konsequent dort an, wo die MasterClass Active Directory Security Kurs 1 und Kurs 2 enden. Kein Thema aus den Vorgängerkursen wird wiederholt – lediglich kurze Reviews erfolgen, wo es inhaltlich notwendig ist.
Der Fokus liegt auf modernen on-premises-Angriffsvektoren, die in realen Penetrationstests und Red-Team-Engagements heute am häufigsten zur vollständigen Domänenkompromittierung führen: ACL-basierte Angriffe, Kerberos-Delegation-Abuses, NTLM-Relay-Varianten sowie hartnäckige Persistenz-Mechanismen, die nach einem Incident häufig übersehen werden.
Tag 2 dreht die Perspektive um und lehrt Detection Engineering, Deception-Techniken (Honey-Accounts, Canary-Objekte) sowie Purple Teaming als Methode, Angriff und Verteidigung gemeinsam zu verbessern. Tag 3 schließt den Kreis mit vollständigen Incident-Response-Playbooks, Forest-Recovery-Prozessen und der Diskussion, was als nächstes kommt.
Voraussetzungen
- Abschluss von Master Class: Securing Active Directory Deep Dive (SADDD-L1) oder gleichwertige Kenntnisse
- Abschluss von Master Class: Securing Active Directory Deep Dive LEVEL 2 (SADDD-L2) oder gleichwertige Kenntnisse
- Praktische Erfahrung mit Active Directory Administration und Gruppenrichtlinien
- Grundkenntnisse in PowerShell-Scripting
- Verständnis von Kerberos, NTLM und grundlegenden AD-Angriffsvektoren (Pass-the-Hash, Golden Ticket)
Kursinhalt
ACL-basierte Angriffe
- Theorie: ACL-Abuse-Pfade im Überblick
- Live-Lab: ACL-Abuse-Kette vollständig durchführen
- Tooling
Kerberos Delegation – der vollständige Guide
- Unconstrained Delegation – Printer Bug & Coercion
- Resource-Based Constrained Delegation (RBCD) – Angriff via MachineAccountQuota
NTLM Relay – immer noch tödlich
- Angriffskette: Coercion + NTLM Relay gegen LDAP
- Vollständige Härtung – priorisierte Reihenfolge
Persistenz-Mechanismen im AD – der vollständige Katalog
- AdminSDHolder als Backdoor
- GPO-Hijacking als Persistenz
Detection Engineering für Active Directory
- Advanced Audit Policy – vollständige Konfiguration
- Sysmon-Konfiguration für Domänencontroller
Honey Tokens, Canary Accounts & Deception
- Honey Accounts – Attribute die Angreifer anlocken
- Canary-Objekte für BloodHound-Erkennung
Purple Teaming für Active Directory
- Assumed Breach Übung – Ablauf
Incident Response für Active Directory
- Die ersten 2 Stunden: Triage
- Persistenz-Suche – PowerShell-Befehle
Tiered Administration – Betrieb und Reifegradmodell
- Authentication Policies und Authentication Silos
- Break-Glass / Notfall-Admin-Zugriff
Netzwerksicherheit rund um AD
- DHCPv6 / IPv6 – das unterschätzte Risiko
- Null Sessions und anonyme LDAP-Abfragen
Notes from the field: Was als nächstes kommt
- Windows LAPS (neue Generation) – Migration von Legacy LAPS
- Kerberos AES-Only – RC4 vollständig deaktivieren