Комментарии 9
О, а я и не знал что виндовый radius можно починить. Просто выкинул его, как и active directory. Надо будет дома ещё разок попробовать. Спасибо за наводочку!
Блин, раздражает MS своим подходом, честно говоря. Протокол (ntlmv1) старый, небезопасный, почему бы не выключить его по умолчанию, и так, чтоб не ломались основные компоненты продукта за сотни нефти? Нет блин, догадывайся сам, ещё и в их этом реестре попробуй что-то найти.
Через раз наблюдаю у компаний ещё и такой ляп: разрешение регистрации в домене станций простым пользователям. 0 в квоту админы забывают прописывать:
ms-DS-MachineAccountQuota
Это через политику делается, что мне кажется корректнее.
Какую политику?
Политикой накатываемой на контроллеры домена (можно в "Default Domain Controllers Policy"): Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры Безопасности -> Локальные политики -> Назначение прав пользователя - Добавление рабочих станций к домену: Администраторы домена (или кому там нужен доступ)
Менять пароль нужно два раза подряд. Сменили первый раз, через час или 2 повторили смену пароля (дождались выполнения репликации в домене).
Скрипт скорее всего защитит от этого абзаца, но между сменами пароля надо выждать минимум 10 часов (срок действия пользовательских тикетов).
Почему не включить флаг NTLMv2 compatibility ДО выключения нтлмв1 ?
Зачем в статье список всех апдейтов на ВАШЕЙ системе?
Спасибо огромное за гайд , не везде кончено у меня дыры, но есть что проверить на досуге
Устраняем уязвимости в Active Directory Windows. Часть 1