Pull to refresh

Comments 16

Каким образом можно защититься от этой атаки?
Установить Domain controller: LDAP server signing requirements в «Require signature»? Совместимость с чем в таком случае потеряется? Какие проблемы всплывут?
Да. Обязательная подпись пакетов решает все проблемы. Совместимость может потеряться с софтом, который удаленно работает с Active Directory и не умеет подписывать пакеты, но это маловероятно, т.к. большинство ldap клиентов работают через соответствующие API и для них момент авторизации и подписи происходит прозрачно.
Это поломает LDAP-запросы с Linux? Например, с OTRS или Redmine?
Столь специфичные вопросы лучше задать гуглу или саппорту озвученных систем.
В общем, проверил на тестовой машине. Да, Linux-клиенты обламываются.
Именно «вообще» нет, эта зараза сидит слишком глубоко во всей системе. Можно повысить максимальный уровень безопасности для интранета и отключить Integrated Windows Authentication.
Возможо — technet.microsoft.com/en-us/library/jj852241%28v=ws.10%29.aspx
А еще можно совсем отказаться от паролей и перевести всех на smart card logon. Но такие меры скорее только на каких-то режимных обьектах применяются.
Я говорил об использовании ntlm на клиентах. Даже блокировку ntlm на домене нельзя назвать полным отключением.
Выше уже всплыли проблемы совместимости при включении обязательной подписи LDAP, а уж блокировка NTLM на сервере может вызвать еще больше проблем.
Это ж до осени ждать такую красоту! Вычислить админа в сети зачастую не так уж сложно.
особенно если ты там работаешь :)
У меня интерес пентестера, лишняя утилита для проникновения, да еще такая многообещающая — это просто подарок и значительное увеличение шанса на премию ;)
как минимум оповещение об изменение группы доменных админов должно приходить на почту. Проблема в том, что если Вас ломают — вы можете не успеть отреагировать.
Only those users with full accounts are able to leave comments. Log in, please.