Offline útoky na Active Directory (a obrana proti nim)
Obmedzenie prístupu k pevným diskom doménového radiča bolo vždy dôležitým aspektom bezpečnosti Active Directory. Táto úloha sa však v dnešnej ére virtualizácie a cloud computingu stáva čoraz zložitejšou. Na tejto prednáške nám Michael Grafnetter načrtne nekonečné možnosti, ktoré by sa otvorili záškodníkom tým, že získajú prístup na čítanie a zápis na fyzický alebo virtuálny disk doménového radiča, ktorý obsahuje jeho databázový súbor ntds.dit. Budete svedkami offline resetu hesla, zmeny členstva v skupine, vloženia histórie SID, zneužitia záložných kľúčov DPAPI, alebo koreňových kľúčov KDS. Diskusia bude samozrejme venovaná aj možnostiam detekcie a obrane proti takýmto útokom. Ako bonus uvidíte aj obnovu doménového kontroléru z databázového súboru za využitia zmienených techník.
Osnova:
- Extrakcia hashov a kerberos kľúčov z AD
- Audit používateľských hesiel
- Offline reset hesla
- Zmena SID History a členstva v skupine
- Dešifrovanie používateľských certifikátov
- Možnosti detekcie a obrany
UPOZORNĚNÍ: Na této akci nebude zajištěno občerstvení.
Čas konce přednášky je pouze orientační.