Active Directory Master: ofensywne bezpieczeństwo

10 3-godzinnych sesji online, na żywo, z dostępem do nagrań. Terminy sesji: 6.05, 11.05, 15.05, 18.05, 22.05, 28.05, 9.06, 22.06, 26.06 i 29.06.2026 r., w godz. 9:00 - 13:00

Active Directory pozostaje podstawowym elementem infrastruktur sieciowych większości organizacji na świecie – i niezmiennie jednym z głównych celów atakujących. 

Każdy, kto odpowiada za bezpieczeństwo środowiska sieciowego – administrator, inżynier bezpieczeństwa, specjalista SOC – powinien znać i rozumieć techniki wykorzystywane przez atakujących. Ten kurs zapewnia dokładnie tę perspektywę. 

Umiejętność skutecznego testowania środowisk AD to dziś także absolutna podstawa warsztatu każdego pentestera zajmującego się weryfikacją bezpieczeństwa infrastruktur sieciowych oraz każdego specjalisty od bezpieczeństwa ofensywnego.

Najnowsze szkolenie ze stajni sekuraka to 10 intensywnych i do bólu praktycznych sesji poświęconych testowaniu bezpieczeństwa środowisk AD on-premise – od podstaw enumeracji, przez ataki na protokoły uwierzytelniania, nadużycia uprawnień i certyfikatów, aż po pełną symulację red teamowego łańcucha ataku. 

Sesje wypełnione są prezentacjami demo live na realnych środowiskach, ułatwiającymi zrozumienie omawianych tematów. Nie tracimy czasu na bezwartościowe slajdowiska i teorię dla samej teorii. 

Czego dowiesz się podczas szkolenia

  • Zapoznasz się z teorią kluczowych mechanizmów Active Directory oraz typowymi błędami konfiguracyjnymi, które w realnych środowiskach prowadzą do poważnych naruszeń bezpieczeństwa.

  • Nauczysz się enumerować środowisko domenowe z poziomu konta nieuprzywilejowanego i bez konta w domenie oraz zrozumiesz, jak ograniczyć zakres informacji dostępnych dla potencjalnego atakującego.

  • Poznasz zaawansowane ataki na protokoły i usługi typowe dla środowska Active Directory, takie jak NTLM i Kerberos, – i dowiesz się, jak skutecznie je mitygować przez odpowiednią konfigurację środowiska.

  • Nauczysz się wykrywać niebezpieczne uprawnienia ACL oraz błędne konfiguracje GPO i delegacji – i jak je eliminować, zanim zrobi to ktoś inny.

  • Zrozumiesz, jak wyglądają ataki na infrastrukturę AD CS oraz jak prawidłowo skonfigurować i utwardzić środowisko certyfikatów, żeby nie stało się furtką do domeny.

  • Poznasz techniki poruszania się po skompromitowanej domenie i nauczysz się, jak segmentacja, tiering model oraz odpowiednie polityki utrudniają lub uniemożliwiają lateral movement.

  • Zrozumiesz, jak atakujący utrzymują dostęp w środowisku domenowym – oraz jak wykrywać tego typu backdoory.

  • Nauczysz się, jak zaplanować i przeprowadzić pełny łańcuch ataku na domenę oraz dokumentować wykryte błędy.

Co powinieneś wiedzieć przed szkoleniem

Aby w pełni skorzystać ze szkolenia, przyda Ci się:

  • Praktyczna, podstawowa znajomość systemu Windows (praca z CMD/PowerShell, uprawnienia, usługi).

  • Podstawowa znajomość sieci – TCP/IP, DNS, protokoły warstwy aplikacji.

  • Elementarne pojęcie o tym, czym jest Active Directory – czym jest domena, kontroler domeny, użytkownik domenowy.

Mile widziane (ale nieobowiązkowe): wcześniejsze doświadczenie z narzędziami takimi jak nmap, NetExec/ CrackMapExec.

Do kogo skierowane jest szkolenie

Szkolenie przeznaczone jest dla:

  • administratorów systemów i sieci odpowiedzialnych za bezpieczeństwo infrastruktury AD,

  • inżynierów SOC i analityków blue team, którzy chcą zrozumieć techniki ataku, by skuteczniej je wykrywać,

  • osób przygotowujących się do certyfikatów z obszaru ofensywnego bezpieczeństwa (OSCP, CRTO, CRTE i podobnych),

  • pentesterów i etycznych hackerów chcących rozwinąć kompetencje w testach środowisk domenowych,

  • specjalistów red team i operatorów ofensywnych,

Agenda

Sesja 1 – Wprowadzenie do Active Directory

  • Podstawowe zagadnienia i protokoły wykorzystywane w środowiskach Active Directory.

  • Role i uprawnienia w domenie.

  • Typy środowisk: on-premise, hybrydowe, cloud.

  • Enumeracja środowiska i zbieranie podstawowych informacji.

  • Typowe ścieżki ataku i kill chain w środowisku AD.

  • Omówienie narzędzi używanych w czasie szkolenia: NetExec, BloodHound, Impacket i innych.

Sesja 2 – Wyszukiwanie zależności i analiza połączeń między obiektami

  • Zbieranie szczegółowych informacji o domenie z konta nieuprzywilejowanego i bez konta.

  • Analiza złożoności sieci i zależności między obiektami z użyciem BloodHound.

  • Enumeracja przez LDAP, RPC, SMB.

  • Wykrywanie kont uprzywilejowanych, grup i tiering model.

Sesja 3 – Problemy uwierzytelnienia: NTLM

  • NTLM – podstawowe zagadnienia i mechanizm działania.

  • NTLM vs NetNTLM – różnice i konsekwencje.

  • Odzyskiwanie postaci jawnej z przechwyconej komunikacji NTLM.

  • Coercion: PetitPotam, PrinterBug, DFSCoerce – mechanizmy i zastosowanie.

  • NTLM Relay w praktyce.

  • Hardening NTLM.

Sesja 4 – Problemy uwierzytelnienia: Kerberos

  • Kerberos – podstawowe zagadnienia i mechanizm działania.

  • Kerberos jako alternatywa dla NTLM.

  • Kerberoasting, AS-REP Roasting, bezpieczeństwo konta krbtgt.

  • Generowanie biletów w celach persystencji.

  • Ataki na usługi MS SQL przez Kerberos.

  • Pass-the-Ticket.

  • Hardening Kerberos.

Sesja 5 – ACL, GPO i delegacja uprawnień

  • Wprowadzenie do bezpieczeństwa GPO i ACL.

  • Wykrywanie i eksploitacja niebezpiecznych uprawnień obiektów domenowych.

  • Ataki na GPO: modyfikacja polityk, wymuszanie wykonania kodu.

  • Bezpieczeństwo GPO i GPP: anatomia, uprawnienia i ryzyka.

  • Nadużycia delegacji: Unconstrained, Constrained, RBCD.

  • Hardening ACL i GPO.

Sesja 6 – AD CS

  • Architektura AD CS: kluczowe komponenty i potencjalne punkty ataku.

  • Enumeracja i wykrywanie podatnych konfiguracji szablonów certyfikatów.

  • Klasy podatności ESC1–ESC13: przegląd i scenariusze eksploitacji.

  • Nadużycia PKINIT – certyfikaty jako alternatywa dla hasła i hasha.

  • Ataki relay z wykorzystaniem AD CS (HTTP/RPC).

  • Hardening AD CS.

Sesja 7 – Ataki na stacje robocze i lokalna eskalacja uprawnień

  • Rekonesans lokalny po uzyskaniu dostępu do stacji roboczej.

  • Mechanizmy zwiększające bezpieczeństwo użytkowników i techniki ich omijania.

  • Lokalna eskalacja uprawnień.

  • Credential harvesting bez domeny.

  • Wydobywanie poświadczeń domenowych z kontekstu zalogowanego użytkownika.

  • Pivoting ze stacji roboczej do domeny – jak lokalny dostęp pozwala na uzyskanie pierwszego dostępu w domenie.

  • Hardening stacji roboczych.

Sesja 8 – Lateral Movement i Post-eksploitacja

  • Techniki poruszania się po sieci domenowej.

  • Pass-the-Hash, Pass-the-Ticket, OverPass-the-Hash.

  • Zdalne wykonanie kodu.

  • Dump poświadczeń z pamięci.

  • Hardening i detekcja lateral movement.

Sesja 9 – Persystencja i utrzymanie dostępu

  • Techniki utrzymania dostępu w środowisku domenowym.

  • Golden Ticket, Silver Ticket.

  • Skeleton Key, DCShadow, AdminSDHolder.

  • Persystencja na poziomie maszyny i użytkownika.

  • Detekcja i usuwanie backdoorów domenowych.

Sesja 10 – Red Team: symulacja pełnego ataku na domenę

  • Planowanie i przeprowadzenie pełnego łańcucha ataku (kill chain).

  • Omówienie technik detekcji.

  • Raportowanie podatności wykrytych w czasie przeprowadzonych testów. 

Co zawiera cena szkolenia

  • Udział w 10 sesjach szkoleniowych na żywo (każda ok. 3 godz.).

  • Certyfikaty ukończenia szkolenia w językach polskim i angielskim.

  • Dostęp do nagrań NA ZAWSZE.

  • Dostęp do serwera Discord szkolenia.

  • Materiały szkoleniowe (prezentacja, notatnik z podsumowaniem technik i zagadnień omawianych w każdej sesji) w formie elektronicznej.

Przydatne informacje

  • Kurs prowadzony jest w formule zdalnej. Do udziału wymagane są: komputer z systemem Windows, Linux lub macOS, przeglądarka Firefox lub Chrome oraz stabilne łącze internetowe.
  • Szkolenie skupia się na środowiskach Active Directory on-premise – tematyka Entra ID pojawia się wyłącznie w kontekście ataków hybrydowych (sesja 9).
  • Link do sesji wysyłany jest przed szkoleniem na adres e-mail podany przy rejestracji. W przypadku braku wiadomości prosimy o kontakt z organizatorem. Certyfikaty wysyłamy do siedmiu dni po zakończeniu szkolenia.
  • Istnieje możliwość realizacji szkolenia w formie zamkniętej dla firm i zespołów – zakres oraz specyfika poszczególnych modułów mogą zostać dopasowane do potrzeb organizacji.

Terminy sesji:

Sesje odbywają się w godzinach 9:00 - 13:00.

Sesja 1 - 6.05.2026

Sesja 2- 11.05.2026

Sesja 3- 15.05.2026

Sesja 4- 18.05.2026

Sesja 5- 22.05.2026

Sesja 6- 28.05.2026

Sesja 7- 9.06.2026

Sesja 8- 22.06.2026

Sesja 9 - 26.06.2026

Sesja 10 - 29.06.2026

O prowadzącym

Marek Rzepecki

Zawodowy, etyczny hacker i pasjonat tematyki ofensywnego cyberbezpieczeństwa. Od 2018 roku konsultant do spraw cyberbezpieczeństwa w Securitum; z branżą związany zawodowo od ponad 10 lat. Zrealizował setki niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych dla największych polskich i zagranicznych firm.

Poza hackowaniem zajmuje się również przekazywaniem wiedzy związanej z cyberbezpieczeństwem. Prowadzi wysoce techniczne szkolenia zarówno z zakresu ofensywnego, jak i defensywnego bezpieczeństwa aplikacji webowych, infrastruktur sieciowych oraz aplikacji mobilnych, a także szkolenia dla osób nietechnicznych, poszerzające i aktualizujące wiedzę na temat cyberzagrożeń. 

Przeszkolił tysiące osób w Polsce i za granicą. Prelegent na konferencjach branżowych, między innymi Mega Sekurak Hacking Party, Confidence, OWASP Meetup Zurich, a także autor materiałów edukacyjnych. Współautor książki wydanej przez Securitum Wydawnictwo: Wprowadzenie do bezpieczeństwa IT, t. 1.

 

Prowadzący: Marek Rzepecki

Bilet dla jednej osoby

2 490,00 zł871,50 zł netto + 23% VAT
3 062,70 zł1 071,95 zł brutto

Nie znalazłeś terminu dogodnego dla siebie

Powiadom mnie o innym terminie szkolenia
Wystąpił nieoczekiwany błąd. Przeładuj 🗙