Praktyczne bezpieczeństwo Windows

Praktyczne szkolenie pokazujące realne problemy z bezpieczeństwem systemów Windows. Szkolenie zawiera około 60% ćwiczeń. W formie warsztatowej wskazywane są aktualne metody ataków na sieci Windows oraz wskazywane są metody ochrony.

Szkolenie przeznaczone jest dla administratorów, osób monitorujących bezpieczeństwo sieci, pentesterów czy architektów bezpieczeństwa.

Czego dowiesz się podczas szkolenia

  • Poznasz realne problemy z bezpieczeństwem systemów Windows. 
  • Poznasz  aktualne metody ataków na sieci Windows oraz metody ochrony.

Co powinieneś wiedzieć przed szkoleniem

  • Wskazane jest, aby uczestnik miał pewną ogólną biegłość w zarządzaniu systemami Windows, optymalnie - serwerami.

Do kogo skierowane jest szkolenie

    • Do administratorów
    • Do osób monitorujących bezpieczeństwo sieci
    • Do pentesterów 
    • Do architektów bezpieczeństwa

Agenda

Architektura systemu

    • Kernel / User -mode
    • Procesy i wątki
    • Serwisy systemowe
    • Pamięć
    • Filesystemy
    • Sieciowość
    • Rejestr Windows

Model bezpieczeństwa

    • Tokeny i tożsamość (kontekst) obiektów
  1. Idea
  2. Kradzież tokenu
  3. Budowanie tokenów
  4. Kontekst LOCALSYSTEM
    • ACLe
  1. Sposób działania
  2. Omijanie ACLi
  3. ACLe dla obiektów innych niż pliki
    • Przywileje systemowe
  1. Użycie przywilejów systemowych do eskalacji uprawnień

Kryptografia w Windows

    • DPAPI
    • DPAPIng
    • BitLocker
    • Nieautoryzowane rozszyfrowywanie danych

Poświadczenia tożsamości (credentials)

    • Pozyskiwanie hashy (lokalnie i z AD)
    • Pozyskiwanie danych uwierzytelniających z mechanizmów zapisywania poświadczeń przez aplikacje
    • Pozyskiwanie danych uwierzytelniających z transmisji sieciowej (SMB, SQL, https)
    • Kradzież i budowanie tokenów (uzupełnienie do #2.a powyżej)
    • Pozyskiwanie poświadczeń z pamięci operacyjnej
    • Pass-the-Hash
    • „Cached credentials”

Ataki offline

    • Wykradanie danych (read only)
  1. Techniki dostępu offline, w tym do snapshotów plików w działającym systemie
  2. Pozyskiwanie zawartości rejestru
  3. Pozyskiwanie zawartości AD
  4. Dostęp do danych szyfrowanych / kluczy
    • Modyfikacje środowiska (read / write)
  1. Edycja rejestru
  2. Zarządzanie użytkownikami
  3. Ataki bazujące na utilman.exe
  4. Inne techniki infekcji w trybie offline
    • Serwisy systemowe
    • DLLe
    • Autostarty

Wbudowane mechanizmy zdalnego dostępu

    • WMI
    • WinRM
    • Services API
    • RDP
    • SMB

Ataki na procesy

    • Ataki oparte o DLL
    • Wstrzykiwanie wątków
    • Przechwytywanie wywołań systemowych (API Hooking)
    • Ataki na pamięć

Internet Information Services

    • Model działania
    • Użycie ataków na aplikacje webowe do przejęcia kontroli nad systemem
    • Zacieranie śladów i omijanie typowych zabezpieczeń

Bezpieczeństwo Active Directory

    • Ataki wykorzystujące Kerberos
    • Podatności związane z uprawnieniami w usłudze katalogowej
    • Podatności związane z hasłami w GPO/GPP
    • Ataki wykorzystujące plik ntds.dit
    • DCSync

SQL Server jako wektor ataku

PowerShell

    • Podstawy języka i środowiska
    • Dostęp do .NET i Win32 API
    • Omijanie zabezpieczeń przed złośliwymi skryptami
    • Narzędzia oparte o PowerShell (w tym PowerSploit)

Przydatne informacje

  • Szkolenie będzie trwało jeden dzień i odbędzie się on-line; wystarczy komputer z dostępem do internetu.
  • Godziny: 9:00 - 17:00
  • [UWAGA!] Link/Linki do szkolenia wysyłamy najpóźniej do dwóch dni przed szkoleniem w osobnej wiadomości, na podanego podczas rejestracji maila. Jeżeli nie dostałeś linka to napisz na szkolenia@securitum.pl podając numer zamówienia.

Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób.

W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:

e-mail: szkolenia@securitum.pl, tel.: +48 516 824 029

Co zawiera cena szkolenia

    • Udział w szkoleniu i dostęp do platformy szkoleniowej.
    • Certyfikat ukończenia szkolenia (PDF).

Podobne szkolenia

Bezpieczeństwo Windows. Elementarz każdego administratora (2 dni)

O prowadzącym

Grzegorz Tworek – specjalista IT w drugim pokoleniu. Od wielu lat aktywnie promuje idee związane z bezpieczeństwem informatyki, zwłaszcza w powiązaniu z systemami Microsoft. Autor artykułów i książek na temat security, prelegent i ekspert na wszelkich konferencjach, od studenckich po BlackHat. W czasie ponad dwudziestoletniej kariery zawodowej zarządzał czterema zbudowanymi od podstaw zespołami ekspertów IT Security, napisał dziesiątki narzędzi, znajdował bugi w kodzie systemów Windows, jednych hackerów wsadzał do więzienia a innych z niego wyciągał. Dwanaście razy nagradzany przez Microsoft tytułem Most Valuable Professional.

Opinie uczestników o szkoleniu:

  • [najlepsze w szkoleniu] Dla mnie osobiście jak działają procesy, wątki, serwisy systemowe, tokeny w Windowsie z punktu widzenia bezpieczeństwa IT. Bardzo pozytywnie zaskoczyła mnie ogromna wiedza trenera.
  • [ocena trenera] Dałbym 6 , ale 6 jest u mnie zarezerwowane tylko dla Boga :)
  • Oceniam trenera na ocenę celującą.
  • Ciekawa tematyka i merytoryczny prowadzący.
  • [najlepsze w szkoleniu]  Grzegorz Tworek :)
  • Ogromna wiedza i doskonały sposób jej przekazania.

 

Poziom zaawansowania:grade grade grade

Prowadzący: Grzegorz Tworek

26 października 2023

1 999,00 zł netto + 23% VAT
2 458,77 zł brutto