Kerberos Schulung

von

Wissen

Praxis-Artikel rund um Kerberos in Windows-Umgebungen – alle frei verfügbar. Tickets, Delegation, S4U2Self/Proxy, SPNs, Encryption Types und die üblichen Verdächtigen beim Troubleshooting.

Zu den Inhalten
Beratung

Beratung, Projektbegleitung, Quick Health Check deiner Kerberos-Infrastruktur. Delegation-Audit, SPN-Bereinigung, AES-Migration, Constrained vs. Resource-Based Delegation und Forensik bei Auth-Ausfällen.

Zur Beratung
Schulungen

Online-Workshops zu Kerberos, Delegation, SPN-Management und Encryption-Types – kompakt, hands-on, ohne MOC-Folienschlacht.

Zu den Schulungen
Table of Contents
2
3

Kerberos Schulung

Kerberos im Windows-Betrieb und unter Angriff – vier Module, eine Lab-Umgebung, null Theorie-Overhead.

Kerberos-Schulungen

Vom Ticket bis zum Angriffsvektor – kompakt, hands-on, ohne MOC-Folienschlacht.

 

Kerberos ist das Protokoll, an dem in einer Windows-Domäne praktisch alles hängt – und das niemand so richtig anschaut, bis es kaputt ist. Genau dann sitzt man vor kryptischen etype-Fehlern, SPN-Duplikaten und Delegation-Konstrukten, die irgendwer vor acht Jahren „mal eben“ eingerichtet hat.

Diese Schulungsreihe nimmt Kerberos von beiden Seiten in die Zange: Wie es im Betrieb sauber läuft – und wo Angreifer ansetzen. Keine Theorie-Schlacht, sondern Tickets, Logs und Tools, die du am Montag direkt brauchst.

 

Für wen?

  • Admins und Engineers, die Active Directory betreiben und endlich verstehen wollen, was die TGS_REQ-Pakete eigentlich erzählen.
  • Security-Leute, die Kerberoasting & Co. nicht nur als Buzzword kennen wollen, sondern im eigenen Forest nachstellen und blocken.
  • Architekten, die Delegation sauber designen müssen, statt „Unconstrained an alles“ als Default zu erben.

    •  

    Die Module

    Die Module bauen aufeinander auf, lassen sich aber auch einzeln buchen. Jedes Modul ist hands-on – mit Lab-Umgebung, echten Traces und Aufgaben statt Frontalbeschallung.

    Modul 1 – Kerberos-Grundlagen

    Einsteiger · 1 Tag

    Das Fundament: Wie funktioniert die Authentifizierung wirklich? Wir gehen vom AS-REQ bis zum fertigen Service-Ticket Schritt für Schritt durch – und schauen den Paketen im Trace direkt dabei zu.

  • AS / TGS / ST – wer fragt wann was beim KDC an
  • TGT vs. Service-Ticket, Lebensdauer & Renewal
  • PAC: was drinsteht und warum es zählt
  • Encryption Types verstehen (AES, RC4, etype-Negotiation)
  • Lab: Kerberos-Traffic mit Wireshark sezieren
    		•

     

    Modul 2 – SPNs & Delegation

    Fortgeschritten · 1 Tag

    Das Modul, in dem die meisten „Aha“-Momente passieren. SPNs sind simpel – bis sie doppelt registriert sind. Und Delegation ist mächtig – bis sie zur offenen Flanke wird.

  • SPN-Registrierung, Duplikate und der Klassiker „KDC_ERR_S_PRINCIPAL_UNKNOWN“
  • Unconstrained Delegation – warum sie ein Sicherheitsalbtraum ist
  • Constrained Delegation & Protocol Transition (S4U2Self / S4U2Proxy)
  • Resource-Based Constrained Delegation (RBCD) richtig einsetzen
  • Lab: Delegation-Kette aufbauen und Fehler diagnostizieren
    		•

     

    Modul 3 – Angriffsvektoren

    Security · 1 Tag

    Jetzt drehen wir die Perspektive um. Wir spielen die gängigen Kerberos-Angriffe im Lab durch – damit du sie in deinen eigenen Logs wiedererkennst, bevor es jemand anderes tut.

  • Kerberoasting & AS-REP-Roasting – Schritt für Schritt
  • Pass-the-Ticket, Overpass-the-Hash, Golden & Silver Ticket
  • Delegation-Abuse: von RBCD zur Privilege Escalation
  • RC4-Downgrade-Angriffe und warum RC4 sterben muss
  • Lab: Angriff nachstellen und im SIEM/Event-Log nachweisen
    		•

     

    Modul 4 – Härtung & Monitoring

    Security / Betrieb · 1 Tag

    Aus den ersten drei Modulen wird hier ein Maßnahmenplan. Wie schließt man die Lücken, ohne dass am Montag die halbe Domäne stillsteht? Mit Augenmaß, nicht mit dem Holzhammer.

  • AES-Migration & RC4-Abschaltung ohne Betriebsausfall
  • Protected Users, Authentication Policies & Silos
  • gMSA statt Service-Accounts mit Passwörtern von 2015
  • Sinnvolle Event-IDs & Detection-Regeln für Kerberos-Angriffe
  • Lab: Härtungsmaßnahmen umsetzen und Wirkung nachweisen
    		•

     

    Betrieb trifft Security – auf einen Blick

    Jedes Thema hat zwei Seiten. Die Schulungsreihe deckt beide ab, damit du nicht nur weißt, wie es laufen soll, sondern auch, wie es schiefgehen kann.

    Thema

    Betrieb / Troubleshooting

    Angriff / Härtung

    Tickets

    TGT, ST, Lebensdauer, Renewal

    Golden/Silver Ticket, Pass-the-Ticket

    Delegation

    Unconstrained, Constrained, RBCD

    Delegation-Abuse, S4U-Tricks

    SPNs

    Registrierung, Duplikate, setspn

    Kerberoasting, SPN-Scanning

    Crypto

    AES vs. RC4, etype-Mismatch

    RC4-Downgrade, AS-REP-Roasting

     

    Formate & Ablauf

  • Online-Workshop, kompakt: einzelne Module à 1 Tag oder die komplette Reihe als 4-Tage-Block.
  • Hands-on: jeder Teilnehmer bekommt eine eigene Lab-Umgebung – nicht nur Zuschauen.
  • Inhouse oder offen: auf Wunsch komplett auf eure Umgebung und Pain Points zugeschnitten.
  • Kein MOC-Material: eigene Unterlagen, praxisnah, ohne 400 Folien zum Durchklicken.

    •  

    Interesse an einer Kerberos-Schulung?

    Schreib mir kurz, welches Modul oder welche Umgebung dich interessiert – dann finden wir das passende Format.

     

    Häufige Fragen

     

    Muss ich die ganze Reihe buchen oder geht auch ein einzelnes Modul?

    Beides. Die vier Module bauen aufeinander auf, lassen sich aber einzeln buchen. Wenn du nur Modul 3 (Angriffsvektoren) brauchst, weil dein SOC genau da Druck macht, ist das völlig okay – die wichtigsten Grundlagen frischen wir zu Beginn kurz auf.

    Brauche ich Vorwissen?

    Für Modul 1 reicht solides AD-Grundwissen. Ab Modul 2 solltest du wissen, was ein Service-Account und ein SPN ist. Modul 3 und 4 setzen die Inhalte aus Modul 1 voraus – entweder über die Schulung oder aus der Praxis.

    Was brauche ich technisch für die Labs?

    Nur einen Browser und eine stabile Leitung. Die Lab-Umgebung wird komplett gestellt, du bekommst deine eigene isolierte Domäne zum Kaputtmachen. Auf deinem Rechner muss nichts installiert werden.

    Machen wir im Angriffs-Modul echte Angriffe?

    Ja, aber ausschließlich in der bereitgestellten, abgeschotteten Lab-Umgebung. Du stellst Kerberoasting, Pass-the-Ticket & Co. selbst nach – damit du die Spuren in echten Logs wiedererkennst. Keine Tools oder Anleitungen für den Einsatz außerhalb des Labs.

    Kann die Schulung auf unsere Umgebung zugeschnitten werden?

    Klar, das ist sogar der Normalfall bei Inhouse-Buchungen. Wenn ihr bestimmte Delegation-Konstrukte, eine laufende AES-Migration oder konkrete Detection-Anforderungen habt, ziehen wir die in die Beispiele und Labs rein.

    Gibt es Unterlagen zum Mitnehmen?

    Ja – eigene, praxisnahe Unterlagen statt MOC-Folienschlacht. Inklusive der Lab-Anleitungen und einer Referenz mit den wichtigsten Event-IDs, Tools und Befehlen zum Nachschlagen.

    Wie groß sind die Gruppen?

    Bewusst klein gehalten, damit jeder im Lab wirklich zum Zug kommt und Fragen nicht untergehen. Bei Inhouse-Schulungen richtet sich die Gruppengröße nach eurem Team.