Active Directory Testumgebung für Golden-Ticket-Simulation

Aus Xinux Wiki

Version vom 12. August 2025, 16:30 Uhr von Thomas.will (Diskussion | Beiträge) (→‎ToDo)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Zur Navigation springen Zur Suche springen

ToDo

Virtuelles Netzwerk anlegen (isoliert, kein Internet)
Vier VMs erstellen:

 - DC: Windows Server 2022, 2 CPU, 4 GB RAM, 40 GB HDD
 - Member-Server: Windows Server 2022, 2 CPU, 4 GB RAM, 40 GB HDD
 - Client: Windows 11, 2 CPU, 4 GB RAM, 40 GB HDD
 - Angreifer: Kali Linux, 2 CPU, 2 GB RAM, 20 GB HDD

DC installieren:

 - Rolle "Active Directory-Domänendienste" + DNS
 - Neue Domain: lab.int
 - Standard-OUs: Workstations, Servers, Users, Admins

Member-Server installieren:

 - Join zur Domain lab.int
 - Datei-Freigabe einrichten (\\member\share)

Client installieren:

 - Join zur Domain lab.int
 - Mit normalem Benutzer anmelden

Service-Account anlegen:

 - Name: svc_web
 - SPN: HTTP/member.lab.int

Angreifer-VM vorbereiten:

 - Kali starten, Tools wie Wireshark und Kerberos-Analyse installieren

Logging aktivieren:

 - Auf allen Windows-VMs "Erweitertes Überwachungsprotokoll" aktivieren
 - Wichtige Events: 4624, 4768, 4769, 4672

Testverkehr erzeugen:

 - Benutzer am Client anmelden (Kerberos TGT/TGS im Eventlog sehen)
 - Auf die Freigabe \\member\share zugreifen

Snapshot aller VMs erstellen:

 - Zustand vor der Angriffssimulation sichern

Übungsziel:

 - Verständnis: KRBTGT-Konto = Schlüssel für TGT-Erstellung
 - Angriffsszenario: Mit kompromittiertem KRBTGT-Schlüssel kann ein Angreifer jedes Konto fälschen
 - Erkennung: Ungewöhnliche Ticket-Lebensdauer, falsche Startzeiten, Logon ohne vorheriges Login-Event
 - Gegenmaßnahme: KRBTGT-Passwort zweimal rotieren, Admin-Rechte minimieren

Abgerufen von „http://wiki.ixheim.de/index.php?title=Active_Directory_Testumgebung_für_Golden-Ticket-Simulation&oldid=64247“