Die erste Stunde AD-Recon
Was laufen lassen, was weglassen, und Kerberos-Sensoren nicht alle am Tag eins triggern.
Domain-User auf Workstation. BloodHound-Collector scheitert an .NET Policy, jemand hat schon den ganzen Forest kerberoasted.
Stunde eins ist keine Maximal-Enumeration. Karte bauen ohne das lauteste Event zu sein. Wer in den ersten sechzig Minuten alles anwirft lernt vor allem wie schnell ein interner Test pausiert wird. Du willst Kontext: wer bin ich, welche DCs, welche Shares lesbar, wo könnte ein Pfad hingehen.
Falsches DNS auf dem VPN-Client schickt LDAP ins Leere. Das fixen bevor du Tools beschuldigst. whoami /all und Gruppen notieren. Transitive Memberships lesen. "Authenticated Users" ist langweilig. "Helpdesk Tier 2" vielleicht nicht.
Was der User schon hat
whoami /all
net user %username% /domain
net group "Domain Admins" /domain
nltest /dclist:corp.local
ipconfig /all
Falsches DNS auf VPN: LDAP ins Leere.
Leichtes LDAP
ldapdomaindump -u 'corp\\user' -p 'Password1' ldap://dc01.corp.local -o ldap-out
enum4linux-ng für schnellen Überblick.
netexec erst mit bestätigten Creds. Massen---users in Minute zehn pausiert Tests.
BloodHound
bloodhound Cheat Sheet nach JSON-Import. Collector blockiert: ACL auf Shares, GPO in SYSVOL.
Kerberos
kerbrute Lockout in RoE lesen. rubeus wenn Tickets verstanden.
BloodHound wenn blockiert
Collector scheitert: manuelle ACL auf lesbaren Shares, GPO aus SYSVOL, Sessions nur in Scope. LDAP-Volumen sieht das SIEM trotzdem.
Kerberos Budget
Kerberoasting laut. Event 4769 mit Kunde abstimmen. kerbrute Lockout in RoE lesen. rubeus wenn Tickets verstanden.
Forest-Form
Domain-Anzahl, Trust-Richtung, Naming (SRV-, SQL-). Lab neben Prod falsch gelabelt hat Teams verbrannt.
Nach sechzig Minuten
User-Kontext, DCs, Fileserver, eine Privileg-Hypothese. Kein Massen-Spray, kein laut scheiternder Collector. Tag zwei mit Creds oder klarem Winkel.
Kerberoasting und AS-REP sind effektiv und laut. Mit dem Kunden über Event 4769 reden bevor du den Forest anfasst. Lockout-Schwellen aus den Rules of Engagement lesen, nicht raten. BloodHound JSON hilft wenn Ingestion klappt. Wenn nicht: ACL auf Shares, GPO in SYSVOL, Sessions nur in Scope.