Offline útoky na Active Directory (a obrana proti nim) (Praha)

  Windows Server

Obmedzenie prístupu k pevným diskom doménového radiča bolo vždy dôležitým aspektom bezpečnosti Active Directory. Táto úloha sa však v dnešnej ére virtualizácie a cloud computingu stáva čoraz zložitejšou. Na tejto prednáške nám Michael Grafnetter načrtne nekonečné možnosti, ktoré by sa otvorili záškodníkom tým, že získajú prístup na čítanie a zápis na fyzický alebo virtuálny disk doménového radiča, ktorý obsahuje jeho databázový súbor ntds.dit. Budete svedkami offline resetu hesla, zmeny členstva v skupine, vloženia histórie SID, zneužitia záložných kľúčov DPAPI, alebo koreňových kľúčov KDS. Diskusia bude samozrejme venovaná aj možnostiam detekcie a obrane proti takýmto útokom. Ako bonus uvidíte aj obnovu doménového kontroléru z databázového súboru za využitia zmienených techník.

Osnova:
- Extrakcia hashov a kerberos kľúčov z AD
- Audit používateľských hesiel
- Offline reset hesla
- Zmena SID History a členstva v skupine
- Dešifrovanie používateľských certifikátov
- Možnosti detekcie a obrany

UPOZORNĚNÍ: Na této akci nebude zajištěno občerstvení.

Čas konce přednášky je pouze orientační.