Znajdowanie procesów z dostępem do interfejsu użytkownika Znajdowanie uchwytów tokenów poddawanych personifikacji Usuwanie uprawnień administratora DESKRYPTORY ZABEZPIECZEŃ Struktura deskryptora zabezpieczeń Struktura identyfikatora SID Bezwzględne i względne deskryptory zabezpieczeń Nagłówki i wpisy listy kontroli dostępu Nagłówek Lista wpisów ACE Tworzenie deskryptorów zabezpieczeń i modyfikowanie ich Tworzenie nowego deskryptora zabezpieczeń Uporządkowanie wpisów ACE Formatowanie deskryptorów zabezpieczeń Przekształcanie dotyczące względnego deskryptora zabezpieczeń Język SDDL Ręczne analizowanie binarnego identyfikatora SID Wyliczanie identyfikatorów SID Odczytywanie deskryptorów zabezpieczeń Przypisywanie deskryptorów zabezpieczeń Przypisywanie deskryptora zabezpieczeń podczas tworzenia zasobu Przypisywanie deskryptora zabezpieczeń do istniejącego zasobu Interfejsy API zabezpieczeń podsystemu Win32 Deskryptory zabezpieczeń serwera i złożone wpisy ACE Podsumowanie sposobu dziedziczenia Znajdowanie właścicieli zasobów menedżera obiektów Zmiana właściciela zasobu PROCES KONTROLI DOSTĘPU Przeprowadzanie kontroli dostępu Kontrole dostępu w trybie jądra Kontrole dostępu w trybie użytkownika Polecenie Get-NtGrantedAccess narzędzia PowerShell Proces kontroli dostępu w narzędziu PowerShell Definiowanie funkcji kontroli dostępu Przeprowadzanie obowiązkowej kontroli dostępu Wykonywanie kontroli dostępu tokena Przeprowadzanie uznaniowej kontroli dostępu Izolowanie w „piaskownicy” Tokeny ograniczone lowbox Kontrole dostępu w przedsiębiorstwach Kontrola dostępu dotycząca typu obiektu Centralna zasada dostępu Zastosowanie funkcji Get-PSGrantedAccess Obliczanie przyznanego poziomu dostępu dla zasobów Kontrola z przechodzeniem Uprawnienie SeChangeNotifyPrivilege Ograniczone kontrole Kontrole dostępu podczas duplikowania uchwytów Kontrole tokenów „piaskownicy” Automatyzowanie kontroli dostępu Uproszczenie kontroli dostępu dla obiektu Znajdowanie obiektów Section z możliwością zapisu AUDYT ZABEZPIECZEŃ Dziennik zdarzeń zabezpieczeń Konfigurowanie systemowej zasady audytu Konfigurowanie zasady audytu dla poszczególnych użytkowników Zabezpieczenia zasad audytu Konfigurowanie listy SACL zasobu Konfigurowanie globalnej listy SACL Weryfikowanie zabezpieczeń zasady audytu Znajdowanie zasobów z wpisami ACE typu Audit UWIERZYTELNIANIE I AUTORYZACJA W RAMACH ZABEZPIECZEŃ LOKALNYCH UWIERZYTELNIANIE W SYSTEMIE WINDOWS Uwierzytelnianie domenowe Uwierzytelnianie lokalne Domena sieci korporacyjnej Lasy domen Konfiguracja domeny lokalnej Baza danych użytkowników Baza danych zasad jednostki autoryzacji LSA Zdalne usługi LSA Zdalna usługa menedżera SAM Usługa zdalna zasady domeny Baza danych menedżera SAM i baza SECURITY Uzyskiwanie dostępu do bazy danych menedżera SAM za pośrednictwem rejestru Inspekcja bazy danych SECURITY Cykliczne stosowanie identyfikatorów RID Wymuszanie zmiany hasła użytkownika Wyodrębnianie skrótów wszystkich użytkowników lokalnych USŁUGA ACTIVE DIRECTORY Krótka historia usługi Active Directory Eksploracja domeny usługi Active Directory za pomocą narzędzia PowerShell Narzędzia administracji zdalnej serwera Podstawowe informacje o lesie i domenie Użytkownicy Grupy Komputery Obiekty i nazwy wyróżniające Wyliczanie obiektów katalogu Uzyskiwanie dostępu do obiektów w innych domenach Schemat Inspekcja schematu Uzyskiwanie dostępu do atrybutów zabezpieczeń Deskryptory zabezpieczeń Tworzenie zapytań dotyczących deskryptorów zabezpieczeń obiektów katalogu Przypisywanie deskryptorów zabezpieczeń nowym obiektom katalogu Przypisywanie deskryptorów zabezpieczeń istniejącym obiektom Inspekcja odziedziczonych zabezpieczeń deskryptora

Kontrole dostępu Tworzenie obiektów Usuwanie obiektów Wyszczególnianie obiektów Odczyt i zapis atrybutów Sprawdzanie wielu atrybutów Analizowanie zestawów właściwości Inspekcja praw dostępu kontroli Analizowanie praw dostępu z potwierdzonym zapisem Uzyskiwanie dostępu do identyfikatora SID konta SELF Wykonywanie dodatkowych kontroli zabezpieczeń Oświadczenia i centralne zasady dostępu Zasady grup Budowanie kontekstu autoryzacji Zbieranie informacji o obiekcie Wykonywanie kontroli dostępu UWIERZYTELNIANIE INTERAKTYWNE Tworzenie pulpitu użytkownika Interfejs API LsaLogonUser Uwierzytelnianie lokalne Uwierzytelnianie w domenie Sesje logowania i konsoli Tworzenie tokena Użycie interfejsu API LsaLogonUser z poziomu narzędzia PowerShell Tworzenie nowego procesu za pomocą tokena Typ logowania Service Testowanie uprawnień i praw kont logowania Tworzenie procesu w innej sesji konsoli Uwierzytelnianie kont wirtualnych UWIERZYTELNIANIE SIECIOWE Uwierzytelnianie sieciowe za pomocą protokołu NTLM Uwierzytelnianie oparte na protokole NTLM z wykorzystaniem narzędzia PowerShell Proces przekształcania kryptograficznego Uwierzytelnianie z przekazywaniem Uwierzytelnianie z użyciem lokalnej pętli zwrotnej Alternatywne dane uwierzytelniające klienta Atak NTLM Relay Schemat ataku Aktywne wyzwania serwera Podpisywanie i uszczelnianie Nazwy elementów docelowych Powiązanie kanału Przegląd Moduł kodu Implementacja serwera klienta Test uwierzytelniania za pomocą protokołu NTLM PROTOKÓŁ KERBEROS Uwierzytelnianie interaktywne z użyciem protokołu Kerberos Początkowe uwierzytelnianie użytkownika Uwierzytelnianie w usługach sieciowych Realizowanie w narzędziu PowerShell procesu uwierzytelniania protokołu Kerberos Odszyfrowywanie komunikatu żądania AP-REQ Odszyfrowywanie komunikatu odpowiedzi AP-REP Uwierzytelnianie między domenami Delegowanie w protokole Kerberos Delegowanie bez ograniczeń ograniczone Wzajemne uwierzytelnianie użytkowników za pomocą protokołu Kerberos Sprawdzanie pamięci podręcznej biletów protokołu Kerberos Prosty atak Kerberoasting PAKIET UWIERZYTELNIANIA NEGOTIATE ORAZ INNE PAKIETY ZABEZPIECZEŃ Bufory zabezpieczeń Zastosowanie buforów z kontekstem uwierzytelniania Zastosowanie buforów podczas podpisywania i zabezpieczania Protokół Negotiate Mniej popularne pakiety zabezpieczeń Bezpieczny kanał Pakiet protokołu CredSSP Opcja Remote Credential Guard i tryb ograniczony administratora Menedżer danych uwierzytelniających Dodatkowe flagi atrybutów żądania Sesje anonimowe Tokeny tożsamości Uwierzytelnianie sieciowe z użyciem tokena lowbox Uwierzytelnianie z wykorzystaniem możliwości uwierzytelniania korporacyjnego Uwierzytelnianie w znanej sieciowej usłudze proxy Uwierzytelnianie z użyciem jawnych danych uwierzytelniających Dziennik zdarzeń audytu uwierzytelniania Identyfikowanie przyczyny nieudanego uwierzytelniania Zastosowanie bezpiecznego kanału do wyodrębnienia certyfikatu protokołu TLS serwera BUDOWANIE SIECI DOMEN SYSTEMU WINDOWS DO TESTÓW Sieć domen Instalowanie i konfigurowanie oprogramowania Hyper-V systemu Windows Tworzenie maszyn wirtualnych Serwer PRIMARYDC Stacja robocza GRAPHITE Serwer SALESDC ODWZOROWYWANIE ALIASÓW IDENTYFIKATORÓW SID FORMATU SDDL