Устраняем уязвимости в Active Directory Windows. Часть 1

[fat_dude]

О, а я и не знал что виндовый radius можно починить. Просто выкинул его, как и active directory. Надо будет дома ещё разок попробовать. Спасибо за наводочку!

Блин, раздражает MS своим подходом, честно говоря. Протокол (ntlmv1) старый, небезопасный, почему бы не выключить его по умолчанию, и так, чтоб не ломались основные компоненты продукта за сотни нефти? Нет блин, догадывайся сам, ещё и в их этом реестре попробуй что-то найти.

[WarP]

Мне кажется, если сейчас развернуть АД из последнего свежего дистро - он там будет выключен. У автора поста , учитывая что пароль керберос не менялся с 2014 - скорее всего это стоит на 2012 винде, а 10-12 лет назад нтлмв1 еще как-то где-то мог использоваться.

[DikSoft]

Через раз наблюдаю у компаний ещё и такой ляп: разрешение регистрации в домене станций простым пользователям. 0 в квоту админы забывают прописывать:

ms-DS-MachineAccountQuota

[Mur81]

Это через политику делается, что мне кажется корректнее.

[xxxkms]

Какую политику?

[Mur81]

Политикой накатываемой на контроллеры домена (можно в "Default Domain Controllers Policy"): Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры Безопасности -> Локальные политики -> Назначение прав пользователя - Добавление рабочих станций к домену: Администраторы домена (или кому там нужен доступ)

[navion]

Менять пароль нужно два раза подряд. Сменили первый раз, через час или 2 повторили смену пароля (дождались выполнения репликации в домене).

Скрипт скорее всего защитит от этого абзаца, но между сменами пароля надо выждать минимум 10 часов (срок действия пользовательских тикетов).

[WarP]

Почему не включить флаг NTLMv2 compatibility ДО выключения нтлмв1 ?
Зачем в статье список всех апдейтов на ВАШЕЙ системе?

[romin1952]

Спасибо огромное за гайд , не везде кончено у меня дыры, но есть что проверить на досуге