Offline útoky na Active Directory (a obrana proti nim)

  Internet Security   Windows Server

Obmedzenie prístupu k pevným diskom doménového radiča bolo vždy dôležitým aspektom bezpečnosti Active Directory. Táto úloha sa však v dnešnej ére virtualizácie a cloud computingu stáva čoraz zložitejšou. Na tejto prednáške nám Michael Grafnetter načrtne nekonečné možnosti, ktoré by sa otvorili záškodníkom tým, že získajú prístup na čítanie a zápis na fyzický alebo virtuálny disk doménového radiča, ktorý obsahuje jeho databázový súbor ntds.dit. Budete svedkami offline resetu hesla, zmeny členstva v skupine, vloženia histórie SID, zneužitia záložných kľúčov DPAPI, alebo koreňových kľúčov KDS. Diskusia bude samozrejme venovaná aj možnostiam detekcie a obrane proti takýmto útokom. Ako bonus uvidíte aj obnovu doménového kontroléru z databázového súboru za využitia zmienených techník.

17:00 - 17:10 - Představení WUGu
17:10 - 19:00 - 1. část setkání
19:00 - 19:15 - Přestávka a občerstvení
19:15 - 21:00 - 2. část setkání
21:00 - Diskuze

Osnova:
- Extrakcia hashov a kerberos kľúčov z AD
- Audit používateľských hesiel
- Offline reset hesla
- Zmena SID History a členstva v skupine
- Dešifrovanie používateľských certifikátov
- Možnosti detekcie a obrany