Praktyczne bezpieczeństwo Windows

Praktyczne szkolenie pokazujące realne problemy z bezpieczeństwem systemów Windows. Szkolenie zawiera około 60% ćwiczeń. W formie warsztatowej wskazywane są aktualne metody ataków na sieci Windows oraz wskazywane są metody ochrony.

Szkolenie przeznaczone jest dla administratorów, osób monitorujących bezpieczeństwo sieci, pentesterów czy architektów bezpieczeństwa.

Do kogo skierowane jest szkolenie:

    • Do administratorów
    • Do osób monitorujących bezpieczeństwo sieci
    • Do pentesterów 
    • Do architektów bezpieczeństwa

Czego nauczysz się podczas szkolenia:

    • Poznasz realne problemy z bezpieczeństwem systemów Windows. 
    • Poznasz  aktualne metody ataków na sieci Windows oraz metody ochrony.

Agenda:

Architektura systemu

    • Kernel / User -mode
    • Procesy i wątki
    • Serwisy systemowe
    • Pamięć
    • Filesystemy
    • Sieciowość
    • Rejestr Windows

Model bezpieczeństwa

    • Tokeny i tożsamość (kontekst) obiektów
  1. Idea
  2. Kradzież tokenu
  3. Budowanie tokenów
  4. Kontekst LOCALSYSTEM
    • ACLe
  1. Sposób działania
  2. Omijanie ACLi
  3. ACLe dla obiektów innych niż pliki
    • Przywileje systemowe
  1. Użycie przywilejów systemowych do eskalacji uprawnień

Kryptografia w Windows

    • DPAPI
    • DPAPIng
    • BitLocker
    • Nieautoryzowane rozszyfrowywanie danych

Poświadczenia tożsamości (credentials)

    • Pozyskiwanie hashy (lokalnie i z AD)
    • Pozyskiwanie danych uwierzytelniających z mechanizmów zapisywania poświadczeń przez aplikacje
    • Pozyskiwanie danych uwierzytelniających z transmisji sieciowej (SMB, SQL, https)
    • Kradzież i budowanie tokenów (uzupełnienie do #2.a powyżej)
    • Pozyskiwanie poświadczeń z pamięci operacyjnej
    • Pass-the-Hash
    • „Cached credentials”

Ataki offline

    • Wykradanie danych (read only)
  1. Techniki dostępu offline, w tym do snapshotów plików w działającym systemie
  2. Pozyskiwanie zawartości rejestru
  3. Pozyskiwanie zawartości AD
  4. Dostęp do danych szyfrowanych / kluczy
    • Modyfikacje środowiska (read / write)
  1. Edycja rejestru
  2. Zarządzanie użytkownikami
  3. Ataki bazujące na utilman.exe
  4. Inne techniki infekcji w trybie offline
    • Serwisy systemowe
    • DLLe
    • Autostarty

Wbudowane mechanizmy zdalnego dostępu

    • WMI
    • WinRM
    • Services API
    • RDP
    • SMB

Ataki na procesy

    • Ataki oparte o DLL
    • Wstrzykiwanie wątków
    • Przechwytywanie wywołań systemowych (API Hooking)
    • Ataki na pamięć

Internet Information Services

    • Model działania
    • Użycie ataków na aplikacje webowe do przejęcia kontroli nad systemem
    • Zacieranie śladów i omijanie typowych zabezpieczeń

Bezpieczeństwo Active Directory

    • Ataki wykorzystujące Kerberos
    • Podatności związane z uprawnieniami w usłudze katalogowej
    • Podatności związane z hasłami w GPO/GPP
    • Ataki wykorzystujące plik ntds.dit
    • DCSync

SQL Server jako wektor ataku

PowerShell

    • Podstawy języka i środowiska
    • Dostęp do .NET i Win32 API
    • Omijanie zabezpieczeń przed złośliwymi skryptami
    • Narzędzia oparte o PowerShell (w tym PowerSploit)

Przydatne informacje: 

Szkolenie w wersji zdalnej, prowadzone jest według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia. 

Do szkolenia wymagany jest laptop z dowolnym systemem operacyjnym (wymagany VirtualBox, minimum 15 GB wolnego miejsca na HDD i 4 GB wolnej pamięci RAM), stabilny internet i słuchawki z mikrofonem.

Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób.

W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:

e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337  

Co zawiera cena szkolenia:

    • Udział w szkoleniu i dostęp do platformy szkoleniowej.
    • Certyfikat ukończenia szkolenia (PDF).

O prowadzącym:

Grzegorz Tworek – Specjalista IT w drugim pokoleniu. Od wielu lat aktywnie promuje idee związane z bezpieczeństwem informatyki, zwłaszcza w powiązaniu z systemami Microsoft. Autor artykułów i książek na temat security, prelegent i ekspert na wszelkich konferencjach, od studenckich po BlackHat. W czasie ponad dwudziestoletniej kariery zawodowej zarządzał czterema zbudowanymi od podstaw zespołami ekspertów IT Security, napisał dziesiątki narzędzi, znajdował bugi w kodzie systemów Windows, jednych hackerów wsadzał do więzienia a innych z niego wyciągał. Dwanaście razy nagradzany przez Microsoft tytułem Most Valuable Professional.

Opinie uczestników o szkoleniu:

 

[najlepsze w szkoleniu] Dla mnie osobiście jak działają procesy, wątki, serwisy systemowe, tokeny w Windowsie z punktu widzenia bezpieczeństwa IT. Bardzo pozytywnie zaskoczyła mnie ogromna wiedza trenera.

[ocena trenera] Dałbym 6 , ale 6 jest u mnie zarezerwowane tylko dla Boga :)

Oceniam trenera na ocenę celującą.

Ciekawa tematyka i merytoryczny prowadzący.

[najlepsze w szkoleniu]  Grzegorz Tworek :)

Ogromna wiedza i doskonały sposób jej przekazania.

 

Poziom zaawansowania:grade grade grade

Prowadzący: Grzegorz Tworek

24 - 25.05.2022 (zdalnie)

2 399,00 zł netto + 23% VAT
2 950,77 zł brutto

7-9.06.2022 (3 dni) stacjonarne (Warszawa)

2 599,00 zł netto + 23% VAT
3 196,77 zł brutto