- Úvod do bezpečnostní a autentizační infrastruktury Windows a LSASS
-
Ukládání hesel, heší, přihlašování čipovou kartou, cache a Single-Sign-On
(SSO)
- Lokální vs. doménové účty, útoky na hesla a jejich šifrované
komunikace přes síť
- Princip počítačových účtů, účty SYSTEM, Network
Service, Local Service, NT SERVICE, IISAppPool
- Ověřovací protokoly Basic,
Kerberos, LM, NTLM, NTLMv2, Schannel a EAP/TLS a PKINIT
- Optimalizace
zabezpečení pro NTLM a Kerberos, implementace AES, omezení NTLM, likvidace
RC4
- Kerberos SPN, použití a definice pro DNS aliasy a servisní účty,
managed service accounts
- Synchronizace času a požadavky na jeho přesnost v
Kerberos, NTLMv2 a SChannel
- Privilege Attribute Certificate (PAC), členství
ve skupinách a jejich omezení, velikosti tiketů a access tokenu
- Fungování
RODC (Read-Only DC) z pohledu uložených hash hesel a vydávání Kerberos
ticketů
- Kerberos unconstrained delegation, constrained delegation, protocol
transition
- Podmínky pro Kerberos delegaci, řešení potíží delegace, S4U a
S4U2Self
- Použití a nastavení Kerberos ověřování a delegace pro služby jako
je Remote Desktop Services a Terminal Services (RDP), SQL Server, SharePoint,
System Center, Exchange, UAG, ADFS ad Web Application Proxy
- Porovnání verzí
operačních systémů a jejich podpory a schopností týkajích se ověřování
-
Active Directory atributy uživatelských účtů týkající se ověřování
-
Auditování a řešení potíží a bezpečnostních incidentů
- Příhlašování
certifikáty na SSL/TLS služby - Schannel
- Přihlašování čipovou kartou (smart
card) - PKINIT a Windows Hello for Business (WHB) s AAD/EntraID
- Windows
Hello for Business (WHB) s Key Trust a za použití Cloud Trust s RODC účtem
-
Zásady použití a vydávání čipových karet (smart card)
- Optimalizace
ověřování v komplikovaných prostředí multiforest multidomain vztahů důvěry
-
Závislost ověřování na parametrech síťových linek
- Technologie Kerberos
Armoring, Compound Id a Claims
- Autentizační politiky a kombinace identity
zařízení do Kerberos tiketů
- Dynamic Access Control (DAC)
- Detaily
omezení při členství ve skupině Protected Users
- SID history, SID filtering
a PIM/PAM trusty (red forest scénáře)
