virusaga 21 авг 2024 в 17:05

Устраняем уязвимости в Active Directory Windows. Часть 1

Средний

12 мин

16K

Блог компании Timeweb CloudАдминистрирование доменных имен*Информационная безопасность*Сетевые технологии*Системное администрирование*

Кейс

+30

Комментарии 20

fat_dude 21 авг 2024 в 17:37

О, а я и не знал что виндовый radius можно починить. Просто выкинул его, как и active directory. Надо будет дома ещё разок попробовать. Спасибо за наводочку!

Блин, раздражает MS своим подходом, честно говоря. Протокол (ntlmv1) старый, небезопасный, почему бы не выключить его по умолчанию, и так, чтоб не ломались основные компоненты продукта за сотни нефти? Нет блин, догадывайся сам, ещё и в их этом реестре попробуй что-то найти.

WarP 22 авг 2024 в 01:18

Мне кажется, если сейчас развернуть АД из последнего свежего дистро - он там будет выключен. У автора поста , учитывая что пароль керберос не менялся с 2014 - скорее всего это стоит на 2012 винде, а 10-12 лет назад нтлмв1 еще как-то где-то мог использоваться.

DikSoft 21 авг 2024 в 17:53

Через раз наблюдаю у компаний ещё и такой ляп: разрешение регистрации в домене станций простым пользователям. 0 в квоту админы забывают прописывать:

ms-DS-MachineAccountQuota

Mur81 21 авг 2024 в 20:28

Это через политику делается, что мне кажется корректнее.

xxxkms 23 авг 2024 в 12:48

Какую политику?

Mur81 23 авг 2024 в 18:50

Политикой накатываемой на контроллеры домена (можно в "Default Domain Controllers Policy"): Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры Безопасности -> Локальные политики -> Назначение прав пользователя - Добавление рабочих станций к домену: Администраторы домена (или кому там нужен доступ)

fat_dude 25 авг 2024 в 15:23

А чем это плохо? Ну введёт юзер свою личную машину в домен, а дальше? Она просто станет частью корпоративной сети, его в целом проблемы. Дополнительных прав это не даст, или я чего не понимаю?

nitro80 25 авг 2024 в 23:39

Вы же не знаете, какой зоопарк у человека на его личном компьютере может быть.

mumische 27 авг 2024 в 09:16

Ну, например, облегчает жизнь злоумышленникам

https://habr.com/ru/companies/angarasecurity/articles/680138/

virusaga 26 авг 2024 в 07:13

Раскрываете мои карты про вторую часть статьи ))

navion 21 авг 2024 в 22:35

Менять пароль нужно два раза подряд. Сменили первый раз, через час или 2 повторили смену пароля (дождались выполнения репликации в домене).

Скрипт скорее всего защитит от этого абзаца, но между сменами пароля надо выждать минимум 10 часов (срок действия пользовательских тикетов).

virusaga 26 авг 2024 в 07:15

Спасибо,исправил

WarP 22 авг 2024 в 01:22

Почему не включить флаг NTLMv2 compatibility ДО выключения нтлмв1 ?
Зачем в статье список всех апдейтов на ВАШЕЙ системе?

virusaga 26 авг 2024 в 07:16

эти апдейты потребовались для того что бы Win 10 автоматом стала обновляться до версии 22h2

romin1952 22 авг 2024 в 16:02

Спасибо огромное за гайд , не везде кончено у меня дыры, но есть что проверить на досуге

virusaga 26 авг 2024 в 07:18

Пожалуйста,готовлю вторую часть)

akibkalo 26 авг 2024 в 07:06

Спасибо. Интересно пишите.

В статье есть фраза "Список устройств не поддерживающих SMB выше версии 1 ", но нет списка или ссылки на него.

Ну и спорна первая строка статьи "Известно, что с 2025 года нужно переходить на отечественное ПО", думал даже, читать ли далее вовсе. Вы же не медвепут, чтобы рекомендация о переходе стала обязаловкой?

virusaga 26 авг 2024 в 07:17

Есть гипер ссылка, он кликабельная. Продублирую здесь
https://sites.google.com/view/howtoguidesforkyoceraprinters/smb-support

hateee 28 авг 2024 в 08:19

устранятели уязвимостей я даж не поленинлся зарегаца чтобы написать вам сюда - горите в аду у меня всё упало из-за етих телодвижений

virusaga 28 авг 2024 в 09:02

Бэкап наше всё! )
для начала нужно было посмотреть какие у вас есть уязвимости на основании отчёта pingcastle.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий