Beschreibung
Angriffe auf und Absicherung von Azure Active Directory
Ziel
In diesem Workshop lernen Sie, wie Angreifer Fehlkonfigurationen der Microsoft-Cloud sowie fehlende Härtungsmaßnahmen ausnutzen, und wie Sie Ihre AAD-Umgebung und Azure-Dienste effektiv absichern.
Azure Active Directory (AAD) ist als Identitätsdienst ein zentraler Bestandteil der Microsoft-Cloud. Mit dem zunehmenden Einsatz von Azure-Diensten durch Firmen und Organisationen gerät der Verzeichnisdienst verstärkt in den Fokus von Angreifern.
Der Workshop beleuchtet:
• Nicht-authentisierte Enumeration, beispielsweise von eingesetzten Azure-Diensten und vorhandenen Benutzern – authentisierte Enumeration mit normalen Rechten
• Initiale Kompromittierung einer Azure-Identität durch beispielsweise Phishing, Anwendungsfehler oder ungeschützte Zugangsdaten
• Privilegien-Eskalation von einer Identität mit wenig Rechten zu hohen Rechten
• Angriffspfade zwischen AAD und Azure-Diensten, On-Premise-Umgebungen und der Microsoft-Cloud
• Möglichkeiten zur Absicherung ihrer AAD-Umgebung, indem Sie Fehlkonfigurationen finden und beheben und ausgeschaltete Sicherheitsfunktionen aktivieren
• wie Sie Angriffe auf Ihre AAD-Umgebung durch Logging und Monitoring erkennen können
Aus Zeit- und Effizienzgründen werden durch die Teilnehmenden selbst keine Hands-on-Übungen durchgeführt. Der Referent gibt Empfehlungen und stellt Unterlagen bereit, wie Sie im Nachgang eigenständig üben können.
Kommende Starttermine
Inhalte / Module
• Grundlagen
- Zusammenhang zwischen Azure Active Directory (AAD) und Azure-Diensten im Azure Resource Manager (ARM)
- Vergleich zwischen On-Premise-Active-Directory und AAD
- Unterschied zwischen AAD-Rollen und Role Based Access Control (RBAC) beim ARM
- Identität als neuer Perimeter und Sicherheitsprinzipale in Azure
- Wichtige Azure-Infrastruktur- (IaaS) und Plattform-Dienste (PaaS): App Services, Funktions-Apps, Speicherkonten, Schlüsseltresore, VMs, Datenbanken
- Hybride Modelle für Synchronisation zwischen On-Premise-Active-Directory und AAD
- Zugriff auf Azure über das Portal, PowerShell-Module, Az-Anwendung und die APIs selbst
- Ziele und Denkweise von Angreifern bei Angriffen auf die Cloud und Azure
• Wie Angreifer vorgehen: Angriffe durchführen
- Unauthentisierte Informationssammlung und Benutzerenumeration
- Initialen Zugriff erlangen durch Phishing, Passwortangriffe, ungesicherte Zugangsdaten oder Anwendungsschwachstellen
- Authentisierte Informationssammlung mit einem normalen Benutzer
- Weitere privilegierte Gruppen in AAD neben dem globalen Administrator
- Typische Fehlkonfigurationen von Azure-Infrastruktur- und Plattform-Diensten
- Arten der Privilegien-Eskalation in Azure ausgehend von Leser und Mitwirkenden zum Besitzer
- Zugangsdaten automatisiert auslesen und Token ausnutzen
- Sprung zwischen AAD und Azure-Diensten, zwischen Kontroll- und Datenebene
- Übersprung in hybriden Umgebungen von der Cloud nach On-Premise und von On-Premise in die Cloud
- Mögliches Umgehen von Sicherheitsmaßnahmen wie Mehr-Faktor-Authentisierung und Richtlinien für Bedingten Zugriff (Conditional Access Policies)
- Möglichkeiten zur Persistenz – wie Angreifer sich langfristig und unbemerkt festsetzen
• Angriffe verhindern
- den initialen Zugriff erschweren
- Azure Active Directory härten und Azure-Dienste im Resource Manager absichern
- Identitäten schützen durch Mehr-Faktor-Authentisierung
- Conditional Access Policies (CAP)
- Privileged Access Workstation (PAW) für AAD
- Ebenenmodell und Least-Privilege-Prinzip für Cloud-Umgebungen
- Privileged Identity Management (PIM) und Verwaltungseinheiten
- Microsoft Defender für die Cloud (früher: Azure Security Center) sinnvoll zum Härten einsetzen
- Richtlinien durchsetzen mit Azure Policy
- Audits der eigenen Azure-Umgebung mit offensiven und defensiven Werkzeugen
• Angriffe erkennen
- Scharfschalten von Auditeinstellungen
- Monitor
- Microsoft Sentinel
• Weiterführende Informationen
- Hinweise zu empfehlenswerten Quellen für sowohl Angriffe auf als auch Verteidigung von Azure Active Directory und Azure
Zielgruppe / Voraussetzungen
Dieser Online-Workshop richtet sich an Administrierende, IT-Leiterinnen und -Leiter, IT-Sicherheitsverantwortliche sowie an Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von Azure Active Directory und Azure-Diensten beschäftigen wollen.
Voraussetzungen: Für eine erfolgreiche Teilnahme an dieser Schulung sollten Sie über Grundkenntnisse in der Administration der Microsoft-Cloud verfügen und Begriffe wie Tenant, Ressource und PowerShell einordnen können.
Abschlussqualifikation / Zertifikat
Teilnahmebescheinigung
Kostenzusatz
Enthalten sind Workshopunterlagen und die Teilnahmebescheinigung
Infos anfordern
heise Academy
Die heise Academy steht für selbstbestimmte und lebenslange Weiterbildung für IT-Professionals und Unternehmen. Unsere Schulungen überzeugen vor allem durch Interaktion, thematischen Tiefgang und individuelle Betreuung. Die iX-Workshops bieten IT-Professionals notwendige Fortbildung zu neuen Themen. Das Themenspektrum umfasst alle Bereiche der professionellen IT:...
Erfahren Sie mehr über heise Academy und weitere Kurse des Anbieters.