Praktyczne szkolenie pokazujące realne problemy z bezpieczeństwem systemów Windows. Szkolenie zawiera około 60% ćwiczeń. W formie warsztatowej wskazywane są aktualne metody ataków na sieci Windows oraz wskazywane są metody ochrony.
Szkolenie przeznaczone jest dla administratorów, osób monitorujących bezpieczeństwo sieci, pentesterów czy architektów bezpieczeństwa.
Voucher 2024
Zachęcamy do zakupu Vouchera 2024 na to szkolenie. Voucher daje gwarancję ceny z roku 2023 i można wykorzystać do końca 2024 roku (terminy szkoleń na 2024 będzie można znaleźć w sklepie, voucher upoważnia do udziału w szkoleniu w dowolnym terminie proponowanym przez organizatora).
Czego dowiesz się podczas szkolenia
- Poznasz realne problemy z bezpieczeństwem systemów Windows.
- Poznasz aktualne metody ataków na sieci Windows oraz metody ochrony.
Co powinieneś wiedzieć przed szkoleniem
- Wskazane jest, aby uczestnik miał pewną ogólną biegłość w zarządzaniu systemami Windows, optymalnie - serwerami.
Do kogo skierowane jest szkolenie
-
- Do administratorów
- Do osób monitorujących bezpieczeństwo sieci
- Do pentesterów
- Do architektów bezpieczeństwa
Agenda
Architektura systemu
-
- Kernel / User -mode
- Procesy i wątki
- Serwisy systemowe
- Pamięć
- Filesystemy
- Sieciowość
- Rejestr Windows
Model bezpieczeństwa
-
- Tokeny i tożsamość (kontekst) obiektów
- Idea
- Kradzież tokenu
- Budowanie tokenów
- Kontekst LOCALSYSTEM
-
- ACLe
- Sposób działania
- Omijanie ACLi
- ACLe dla obiektów innych niż pliki
-
- Przywileje systemowe
- Użycie przywilejów systemowych do eskalacji uprawnień
Kryptografia w Windows
-
- DPAPI
- DPAPIng
- BitLocker
- Nieautoryzowane rozszyfrowywanie danych
Poświadczenia tożsamości (credentials)
-
- Pozyskiwanie hashy (lokalnie i z AD)
- Pozyskiwanie danych uwierzytelniających z mechanizmów zapisywania poświadczeń przez aplikacje
- Pozyskiwanie danych uwierzytelniających z transmisji sieciowej (SMB, SQL, https)
- Kradzież i budowanie tokenów (uzupełnienie do #2.a powyżej)
- Pozyskiwanie poświadczeń z pamięci operacyjnej
- Pass-the-Hash
- „Cached credentials”
Ataki offline
-
- Wykradanie danych (read only)
- Techniki dostępu offline, w tym do snapshotów plików w działającym systemie
- Pozyskiwanie zawartości rejestru
- Pozyskiwanie zawartości AD
- Dostęp do danych szyfrowanych / kluczy
-
- Modyfikacje środowiska (read / write)
- Edycja rejestru
- Zarządzanie użytkownikami
- Ataki bazujące na utilman.exe
- Inne techniki infekcji w trybie offline
-
- Serwisy systemowe
- DLLe
- Autostarty
Wbudowane mechanizmy zdalnego dostępu
-
- WMI
- WinRM
- Services API
- RDP
- SMB
Ataki na procesy
-
- Ataki oparte o DLL
- Wstrzykiwanie wątków
- Przechwytywanie wywołań systemowych (API Hooking)
- Ataki na pamięć
Internet Information Services
-
- Model działania
- Użycie ataków na aplikacje webowe do przejęcia kontroli nad systemem
- Zacieranie śladów i omijanie typowych zabezpieczeń
Bezpieczeństwo Active Directory
-
- Ataki wykorzystujące Kerberos
- Podatności związane z uprawnieniami w usłudze katalogowej
- Podatności związane z hasłami w GPO/GPP
- Ataki wykorzystujące plik ntds.dit
- DCSync
SQL Server jako wektor ataku
PowerShell
-
- Podstawy języka i środowiska
- Dostęp do .NET i Win32 API
- Omijanie zabezpieczeń przed złośliwymi skryptami
- Narzędzia oparte o PowerShell (w tym PowerSploit)
Przydatne informacje
- Szkolenie będzie trwało jeden dzień i odbędzie się on-line; wystarczy komputer z dostępem do internetu.
- Godziny: 9:00 - 17:00
- [UWAGA!] Link/Linki do szkolenia wysyłamy najpóźniej do dwóch dni przed szkoleniem w osobnej wiadomości, na podanego podczas rejestracji maila. Jeżeli nie dostałeś linka to napisz na szkolenia@securitum.pl podając numer zamówienia.
Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób.
W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:
e-mail: szkolenia@securitum.pl, tel.: +48 516 824 029
Co zawiera cena szkolenia
-
- Udział w szkoleniu i dostęp do platformy szkoleniowej.
- Certyfikat ukończenia szkolenia (PDF).
Podobne szkolenia
Bezpieczeństwo Windows. Elementarz każdego administratora (2 dni)
O prowadzącym
Grzegorz Tworek – specjalista IT w drugim pokoleniu. Od wielu lat aktywnie promuje idee związane z bezpieczeństwem informatyki, zwłaszcza w powiązaniu z systemami Microsoft. Autor artykułów i książek na temat security, prelegent i ekspert na wszelkich konferencjach, od studenckich po BlackHat. W czasie ponad dwudziestoletniej kariery zawodowej zarządzał czterema zbudowanymi od podstaw zespołami ekspertów IT Security, napisał dziesiątki narzędzi, znajdował bugi w kodzie systemów Windows, jednych hackerów wsadzał do więzienia a innych z niego wyciągał. Dwanaście razy nagradzany przez Microsoft tytułem Most Valuable Professional.
Opinie uczestników o szkoleniu:
- [najlepsze w szkoleniu] Dla mnie osobiście jak działają procesy, wątki, serwisy systemowe, tokeny w Windowsie z punktu widzenia bezpieczeństwa IT. Bardzo pozytywnie zaskoczyła mnie ogromna wiedza trenera.
- [ocena trenera] Dałbym 6 , ale 6 jest u mnie zarezerwowane tylko dla Boga :)
- Oceniam trenera na ocenę celującą.
- Ciekawa tematyka i merytoryczny prowadzący.
- [najlepsze w szkoleniu] Grzegorz Tworek :)
- Ogromna wiedza i doskonały sposób jej przekazania.