Comments 16
Каким образом можно защититься от этой атаки?
Установить Domain controller: LDAP server signing requirements в «Require signature»? Совместимость с чем в таком случае потеряется? Какие проблемы всплывут?
Установить Domain controller: LDAP server signing requirements в «Require signature»? Совместимость с чем в таком случае потеряется? Какие проблемы всплывут?
0
Да. Обязательная подпись пакетов решает все проблемы. Совместимость может потеряться с софтом, который удаленно работает с Active Directory и не умеет подписывать пакеты, но это маловероятно, т.к. большинство ldap клиентов работают через соответствующие API и для них момент авторизации и подписи происходит прозрачно.
+3
Вот спасибо, полезная информация.
+2
А вообще выключить NTLM возможно?
0
Именно «вообще» нет, эта зараза сидит слишком глубоко во всей системе. Можно повысить максимальный уровень безопасности для интранета и отключить Integrated Windows Authentication.
+1
Возможо — technet.microsoft.com/en-us/library/jj852241%28v=ws.10%29.aspx
А еще можно совсем отказаться от паролей и перевести всех на smart card logon. Но такие меры скорее только на каких-то режимных обьектах применяются.
А еще можно совсем отказаться от паролей и перевести всех на smart card logon. Но такие меры скорее только на каких-то режимных обьектах применяются.
0
Это ж до осени ждать такую красоту! Вычислить админа в сети зачастую не так уж сложно.
0
особенно если ты там работаешь :)
0
как минимум оповещение об изменение группы доменных админов должно приходить на почту. Проблема в том, что если Вас ломают — вы можете не успеть отреагировать.
0
LDAPS хорошо от mitm помогает
0
Only those users with full accounts are able to leave comments. Log in, please.
Реинкарнация NTLM-relay или как стать администратором домена за 1 минуту