Angriffe auf und Absicherung von Entra ID (Azure Active Directory)

Datum 05. - 06.10.2023 15. - 16.11.2023 14. - 15.12.2023
Uhrzeit 09:00 - 17:00 Uhr
Preis 1.980,00 € *
Frühbucher 1.782,00 € *

max. 20 Teilnehmer
online

In diesem Workshop lernen Sie, wie Angreifer Fehlkonfigurationen der Microsoft-Cloud sowie fehlende Härtungsmaßnahmen ausnutzen, und wie Sie Ihre Entra-ID-Umgebung und Azure-Dienste effektiv absichern.

Entra-ID (bisheriger Name: Azure Active Directory) ist als Identitätsdienst ein zentraler Bestandteil der Microsoft-Cloud. Mit dem zunehmenden Einsatz von Azure-Diensten durch Firmen und Organisationen gerät der Verzeichnisdienst verstärkt in den Fokus von Angreifern.

Der Workshop beleuchtet:

Nicht-authentisierte Enumeration, beispielsweise von eingesetzten Azure-Diensten und vorhandenen Benutzern – authentisierte Enumeration mit normalen Rechten
Initiale Kompromittierung einer Azure-Identität durch beispielsweise Phishing, Anwendungsfehler oder ungeschützte Zugangsdaten
Privilegien-Eskalation von einer Identität mit wenig Rechten zu hohen Rechten
Angriffspfade zwischen Entra-IDund Azure-Diensten, On-Premise-Umgebungen und der Microsoft-Cloud
Möglichkeiten zur Absicherung ihrer Entra-ID-Umgebung, indem Sie Fehlkonfigurationen finden und beheben und ausgeschaltete Sicherheitsfunktionen aktivieren
wie Sie Angriffe auf Ihre Entra-ID-Umgebung durch Logging und Monitoring erkennen können

Aus Zeit- und Effizienzgründen werden durch die Teilnehmenden selbst keine Hands-on-Übungen durchgeführt. Der Referent gibt Empfehlungen und stellt Unterlagen bereit, wie Sie im Nachgang eigenständig üben können.

Zielgruppe

Dieser Online-Workshop richtet sich an Administrierende, IT-Leiterinnen und -Leiter, IT-Sicherheitsverantwortliche sowie an Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von Entra-ID und Azure-Diensten beschäftigen wollen.

Voraussetzungen

Für eine erfolgreiche Teilnahme an dieser Schulung sollten Sie über Grundkenntnisse in der Administration der Microsoft-Cloud verfügen und Begriffe wie Tenant, Ressource und PowerShell einordnen können.

Zur Workshop-Durchführung wird Zoom verwendet mittels eines DSGVO-konformen On-Premise-Connectors. Wir bitten Sie, ein Mikrofon oder Headset sowie einen aktuellen Browser zu nutzen.

Inhalte (für mehr Details auf die einzelnen Punkte klicken)

Grundlagen
- Zusammenhang zwischen Entra-ID und Azure-Diensten im Azure Resource Manager (ARM)
- Vergleich zwischen On-Premise-Active-Directory und Entra-ID
- Unterschied zwischen Entra-ID-Rollen und Role Based Access Control (RBAC) beim ARM
- Identität als neuer Perimeter und Sicherheitsprinzipale in Azure
- Wichtige Azure-Infrastruktur- (IaaS) und Plattform-Dienste (PaaS): App Services, Funktions-Apps, Speicherkonten, Schlüsseltresore, VMs, Datenbanken
- Hybride Modelle für Synchronisation zwischen On-Premise-Active-Directory und Entra-ID
- Zugriff auf Azure über das Portal, PowerShell-Module, Az-Anwendung und die APIs selbst
- Ziele und Denkweise von Angreifern bei Angriffen auf die Cloud und Azure
Wie Angreifer vorgehen: Angriffe durchführen
- Unauthentisierte Informationssammlung und Benutzerenumeration
- Initialen Zugriff erlangen durch Phishing, Passwortangriffe, ungesicherte Zugangsdaten oder Anwendungsschwachstellen
- Authentisierte Informationssammlung mit einem normalen Benutzer
- Weitere privilegierte Gruppen in Entra-ID neben dem globalen Administrator
- Typische Fehlkonfigurationen von Azure-Infrastruktur- und Plattform-Diensten
- Arten der Privilegien-Eskalation in Azure ausgehend von Leser und Mitwirkenden zum Besitzer
- Zugangsdaten automatisiert auslesen und Token ausnutzen
- Sprung zwischen Entra-ID und Azure-Diensten, zwischen Kontroll- und Datenebene
- Übersprung in hybriden Umgebungen von der Cloud nach On-Premise und von On-Premise in die Cloud
- Mögliches Umgehen von Sicherheitsmaßnahmen wie Mehr-Faktor-Authentisierung und Richtlinien für Bedingten Zugriff (Conditional Access Policies)
- Möglichkeiten zur Persistenz – wie Angreifer sich langfristig und unbemerkt festsetzen
Angriffe verhindern
- den initialen Zugriff erschweren
- Entra-ID härten und Azure-Dienste im Resource Manager absichern
- Identitäten schützen durch Mehr-Faktor-Authentisierung
- Conditional Access Policies (CAP)
- Privileged Access Workstation (PAW) für Entra-ID
- Ebenenmodell und Least-Privilege-Prinzip für Cloud-Umgebungen
- Privileged Identity Management (PIM) und Verwaltungseinheiten
- Microsoft Defender für die Cloud (früher: Azure Security Center) sinnvoll zum Härten einsetzen
- Richtlinien durchsetzen mit Azure Policy
- Audits der eigenen Azure-Umgebung mit offensiven und defensiven Werkzeugen
Angriffe erkennen
- Scharfschalten von Auditeinstellungen
- Monitor
- Microsoft Sentinel
Weiterführende Informationen
- Hinweise zu empfehlenswerten Quellen für sowohl Angriffe auf als auch Verteidigung von Entra-ID und Azure

Trainer

Frank Ully

ist erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München. In dieser Funktion beschäftigt er sich schwerpunktmäßig mit relevanten Entwicklungen in der offensiven IT-Sicherheit. Frank Ully hält regelmäßig Vorträge und veröffentlicht Artikel in Fachzeitschriften wie der iX.

Tim Mittermeier (05. - 06.10. / 15. - 16.11. / 14. - 15.12.2023)

ist Head of Red Teaming & Penetration Testing bei der Oneconsult Deutschland AG. Zuvor war er als Sicherheitsforscher beim Forschungsinstitut Cyber Defence an der Universität der Bundeswehr München tätig. In diesen Funktionen beschäftigte er sich mit verschiedensten Domänen und Aspekten der IT-Sicherheit. Er betreute verschiedene Lehrveranstaltungen zu Netzwerk- und IT-Sicherheit und führt regelmäßig Weiterbildungen und Schulungen für die Oneconsult Deutschland AG durch.

Leistungen Ihres Workshoptickets

Workshopunterlagen
Teilnahmebescheinigung

Durchführung

Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl (weniger als 50%) nicht möglich, werden die Teilnehmer spätestens 7 Tage vorher durch das heise Events-Team informiert.

Jetzt Tickets buchen

10% Frühbucherrabatt bis 4 Wochen vor Veranstaltungsbeginn

05. - 06.10.2023 15. - 16.11.2023 14. - 15.12.2023

Bitte nutzen Sie für den Ticketkauf eine E-Mail-Adresse, auf die Sie freien Zugriff haben.

* Preise beinhalten 19% Mehrwertsteuer.

Haben Sie Fragen zur Organisation oder der Veranstaltung? Gern beantworte ich Ihre Fragen per E-Mail.

Anna Ludwig

Projektleiterinnen Events