Вышла новая версия ALD Pro, где разработчики добавили глобальный каталог и модуль синхронизации данных между доменами Microsoft Active Directory (MS AD) и ALD Pro. По словам создателей отечественного решения, это позволит пользователям комфортно работать в гетерогенной среде в период миграции на российское ПО. В новой версии ALD Pro реализован ещё ряд других актуальных улучшений.
Группа компаний «Астра» разработала аналог Microsoft Exchange Server, который в полном объеме реализует его функционал
ГК «Астра» представляет мультиплатформенный программный комплекс для корпоративных коммуникаций, куда входят система управления корпоративной почтой RuPost, а также решение для организации безопасных мобильных рабочих мест, создания микроприложений и чат-ботов.
Использование NAS-серверов в небольших компаниях и офисах
Безопасное управление Active Directory. Часть 3 (заключительная)
Как всегда – фокус на идеях, которые помогут вашей инфраструктуре стать более защищенной. С предыдущими двумя частями можно ознакомиться по ссылкам ниже:
Часть 1
Часть 2
В этой части мы говорим о мониторинге событий, связанных с AD.
Почему необходимо отслеживать и успешные и неудачные операции?
Вы отслеживаете только неудачные операции? Вам, к сожалению, придется пересмотреть стратегию аудита, считает наш автор. Давайте приведем пару примеров, показывающих, как важно мониторить успешно завершенные события:
Веб авторизация доменного пользователя через nginx и HTTP Negotiate
В сети куча информации по организации подобной схемы для Apache2 & AD на базе Windows, а вот пользователям nginx приходится собирать все по крупицам, информации кот наплакал. В базовой поставке Nginx нет подобного функционала. Благо люди не пали духом и история началась в мейл рассылках nginx в 2009 году, где один американский товарищ из Огайо нанял разработчика на RentACoder для запиливания модуля с подобным функционалом. Ребята форкнули подобный модуль для апача, прикрутили его к nginx и результаты работы выложили на github, где модуль время от времени допиливался разными людьми и в итоге принял роботоспособный вид. Последнюю версию можно получить на гитхабе.
В данном руководстве я расскажу как заставить работать nginx с SPNEGO модулем и samba4.
ejabberd+AD+Shared Roster
Для начала что мы имеем: небольшую сеть на ~150 машин, в основном с ОС Windows XP, домен, поднятый естественно на Windows 2k3 и нормальную машинку(или сервер) на которой установлен gentoo linux (опционально MySQL).
Задача: Установить jabber сервер, сделать общий ростер, с группами из AD, прикрепить к нему icq гейт и поставить jabber клиенты на рабочие машины.
Active Directory: Enterprise by THM writeup
Приветствую, вас, кулхацкеры. Мы снова проходим машины на TryHackMe. На этот раз райт будет посвящен тачке под названием Enterprise.
FreeIPA vs Samba AD
Используя продукты ведущих вендоров, мы не всегда задумываемся о том, что в них реализованы лучшие практики, позволяющие экономить на администрировании, повышать безопасность инфраструктуры и обеспечивать удобство для работы пользователей. Но эти детали, как шило в... мешке, не дают покоя при попытке заменить проверенное ПО свободным. Оказывается, ни одно из альтернативных решений неспособно без существенных доработок обеспечить сопоставимые показатели по безопасности, удобству и эффективности.
Сегодня нужно заменить большое количество программных продуктов, а времени совсем мало, поэтому приходится расставлять приоритеты и начинать с самого важного. Так, одним из стратегических направлений «Группы Астра» стала разработка службы каталога, которая должна заменить Microsoft Active Directory и стать сердцем обновленной ИТ-инфраструктуры российских предприятий. В нашем продукте мы объединили службу каталога FreeIPA с системой конфигурирования SaltStack и дополнили решение набором наиболее востребованных сервисов, таких как репозиторий программного обеспечения Reprepro, файловый сервер Samba, общий доступ к принтерам CUPS, динамическая настройка хостов ISC DHCP, установка ОС по сети TFTP HPA, мониторинг Zabbix и Grafana, журналирование syslog-ng.
Продукт ALD Pro (Astra Linux Directory Pro) быстро развивается, и с даты первого релиза было опубликовано уже несколько сотен улучшений, что позволило стать лидером на рынке доменных решений. У нас уже сотни инсталляций по всей стране, и с каждым днем их становится все больше. Но некоторых пользователей очень интересует вопрос, почему в качестве основы для службы каталога мы выбрали все-таки FreeIPA, а не Samba AD, и в этой статье поделимся нашими соображениями. Уверены, что информация окажется полезной не только нашим заказчикам, но и пользователям ванильных FreeIPA и Samba AD.
PassTheCert. Обходим отсутствие механизма PKINIT в Active Directory
Исследование SpecterOps "Certified Pre-Owned", посвященное злоупотреблению службами сертификатов Active Directory (AD CS), еще больше облегчило белым хакерам получение привилегий администратора домена во время проведения внутренних пентестов.
HTB Manager. Проводим атаку на центр сертификатов в Active Directory
Приветствую вас, дорогие читатели, на связи компания AP Security. Сегодня мы с вами пройдем Windows-машину Manager на HackTheBox.
Что общего между PetitPotam, NTLM Relay и PrintNighmare? Рассказываем, к чему может привести отсутствие обновлений
Команда Центра кибербезопасности УЦСБ продолжает рассказывать о самых интересных практиках пентеста. Напоминаем, что в прошлой статье мы писали о том, как нам удалось пробить периметр с двух точек: Windows- и Linux-серверов, а также захватить внутреннюю инфраструктуру компании.
В этот раз мы покажем, как компрометация домена Active Directory (AD) может привести к полной остановке деятельности компании на неопределенное время. Надеемся, наши кейсы будут вам полезны, а этот опыт позволит избежать схожих проблем!
Упрощаем жизнь администратору, ассоциируем имя пользователя и имя компьютера в автоматическом режиме в каталоге AD
Наверное, у всех системных администраторов была проблема определения имени компьютера пользователя. То есть мы знаем имя сотрудника, но какой у него компьютер, без понятия. И, зачастую, попытка заставить пользователя определить имя компьютера вызывает мучение. Они вместо этого называют имя пользователя, mail, номер телефона, все что угодно, только не имя компьютера. А попытка объяснить пользователю где находится информация о системе вызывает баттхерт сотрудника и лютую ненависть. Можно, конечно, было бы написать какую-нибудь утилитку, позволяющая отображать имя компьютера на рабочем столе или где-нибудь еще на видном месте, но для этого надо каждый раз объяснять где находится эта информация. Немного упрощает задачу, но не решает ее полностью. Тем более что я склоняюсь к тому, что пользователю и во все положено не знать имя компьютера, на котором он сидит. В результате было решено сделать определение имени компьютера современным, удобным, правильным и, главное, автоматическим.
Примерно так может выглядеть подключение к компьютеру. При чем оснастку даже не обязательно открывать с помощью административной учетной записи. Для тех, кому интересно как все это работает и как это сделать в вашей инфраструктуре, добро пожаловать под кат.
Для выполнения описанного, вы должны понимать что такое AD, понимать хотя бы примерно структуру объектов в AD, понимать работу скриптов, а также любить котиков.
Microsoft ActiveDirectory — обновление паролей пользователей во внешних хранилищах
Интеграция ActiveDirectory в консоль управления Aether
Автоматическая интеграция ActiveDirectory с новой консолью управления ИБ Aether позволяет быстро внедрять защиту и легко управлять ею.
Интеграция Netsparker с AD через Keycloak
Привет, Хабр!
Как-то раз в нашей работе встретилась необходимость провести интеграцию сканера безопасности Netsparker и службы каталогов Active Directory. В этой статье я поделюсь инструкцией о том, как можно это сделать и на что стоит обратить внимание при настройке.
Забегая вперед, стоит отметить, что аналогичные шаги помогут настроить интеграцию с AD не только Netsparker, но и иных приложений, которые не имеют собственных средств взаимодействия с Active Directory.
Строим безопасную разработку в ритейлере. Итоги одного большого проекта
Все было классно. И на этом мы могли бы закончить, если бы не одно «но». При планировании мы некорректно оценили время интеграции. Спойлер: многое пошло не так, в результате внедрение усложнилось, сроки сдвинулись. Спойлер 2: учесть все факторы риска было невозможно. И вот с этого момента давайте поподробнее.
Как мы переходили на доменную авторизацию AD в 1С (двигаем SSO в компании)
Приветствую всех, если вас заинтересовала статься значит вы тем или иным образом стыкались или интересовались данным вопросом, либо просто почитать.
Данный кейс с реальной практики, проект начался в начале 2019 и все "n" баз были переведены в течении полугода на доменную авторизацию(надеюсь все понимают что это значит), но мне больше нравится SSO.
Значит что имеем.
Полезные мелочи Windows администратора, поиск компьютеров пользователей и не только
Как-то давно на хабре публиковалась статья Опытные мелочи Windows-админа. В ней рассказывалось как быстро и достаточно эффективно находить компьютеры на которых залогинился тот или иной пользователь.
Мне эта идея понравилась, т.к. всё делается достаточно просто, быстро и без модификации схемы Active Directory. Я постепенно улучшал изложенные в статье подходы и в итоге появились три скрипта, которыми я и хочу поделится с вами.
Брутфорс хэшей в Active Directory
Слабые пароли пользователей — очень распространенная проблема, которая может позволить злоумышленнику повысить свои привилегии в сети компании и закрепиться в ней.
Чтобы этого не допустить, необходимо регулярно анализировать стойкость паролей пользователей.
У системных администраторов нет возможности увидеть пароли пользователей в открытом виде, но они могут загрузить хэши паролей и провести их перебор.
В этой статье мы расскажем о том, как можно легко получить хэши паролей пользователей и провести эффективный перебор паролей, используя различные методы.
Данный материал также будет полезен пентестерам, которым для развития атаки требуется восстановить пароли пользователей.
(Net)-NT(LM)v[12]
Очень часто встречаю, что люди путают разные типы хэшей и думают, что NTLM и NTLMv1/v2 это одно и тоже, а NTLMv1/v2 и Net-NTLMv1/v2 разные типы. Данная статья заметка предназначена для того, что бы разобраться со всем этим.