- Úvod do bezpečnostnej a autentizačnej infraštruktúry Windows a LSASS
-
Ukladanie hesiel, heší, prihlasovanie čipovou kartou, cache a Single-Sign-On
(SSO)
- Lokálne vs. doménové účty, útoky na heslá a ich šifrované komunikácie
cez sieť
- Princíp počítačových účtov, účty SYSTEM, Network Service, Local
Service, NT SERVICE, IISAppPool
- Overovacie protokoly Basic, Kerberos, LM,
NTLM, NTLMv2, Schannel a EAP/TLS a PKINIT
- Optimalizácia zabezpečenia pre
NTLM a Kerberos, implementácia AES, obmedzenie NTLM, likvidácia RC4
-
Kerberos SPN, použitie a definície pre DNS aliasy a servisné účty, managed
service accounts
- Synchronizácia času a požiadavky na jeho presnosť v
Kerberos, NTLMv2 a SChannel
- Privilege Attribute Certificate (PAC), členstvo
v skupinách a ich obmedzenia, veľkosti tiketov a access tokenu
- Fungovanie
RODC (Read-Only DC) z pohľadu uložených hash hesiel a vydávanie Kerberos
ticketov
- Kerberos unconstrained delegation, constrained delegation,
protocol transition
- Podmienky pre Kerberos delegáciu, riešenie problémov
delegácie, S4U a S4U2Self
- Použitie a nastavenie Kerberos overovania a
delegácie pre služby ako je Remote Desktop Services a Terminal Services (RDP),
SQL Server, SharePoint, System Center, Exchange, UAG, ADFS ad Web Application
Proxy
- Porovnanie verzií operačných systémov a ich podpory a schopností
týkajúcich sa overovania
- Active Directory atribúty užívateľských účtov
týkajúce sa overovania
- Auditovanie a riešenie problémov a bezpečnostných
incidentov
- Prihlasovanie certifikáty na SSL/TLS služby - Schannel
-
Prihlasovanie čipovou kartou (smart card) - PKINIT a Windows Hello for Business
(WHB) s AAD/EntraID
- Windows Hello for Business (WHB) s Key Trust a za
použitia Cloud Trust s RODC účtom
- Zásady použitia a vydávania čipových
kariet (smart card)
- Optimalizácia overovania v komplikovaných prostredí
multiforest multidomain vzťahov dôvery
- Závislosť overovania na parametroch
sieťových liniek
- Technológia Kerberos Armoring, Compound Id a Claims
-
Autentizačné politiky a kombinácia identity zariadenia do Kerberos tiketov
-
Dynamic Access Control (DAC)
- Detaily obmedzení pri členstve v skupine
Protected Users
- SID history, SID filtering a PIM/PAM trusty (red forest
scenáre)
