Windows *

Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности: клиент Windows Server 2025 уже требует подпись SMB-пакетов. Всё, что не умеет — идёт мимо кассы.

В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения.

Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет. Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт.

Привет, Хабр! Сегодня мы поговорим о боли. О той самой боли, которая возникает в 3 часа ночи, когда звонит дежурный инженер и говорит, что «всё лежит». Веб-приложение не отвечает, а единственный способ что-то сделать — это дать ему RDP-доступ на сервер с правами локального, а то и доменного администратора. И всё это ради одной единственной задачи: перезапустить пул приложений в IIS.

Знакомая ситуация? Мы даем избыточные права, потому что это быстро и просто. Мы даем «ключ от всего города», чтобы человек мог открыть одну дверь. В этот момент мы открываем ящик Пандоры: случайная ошибка, запущенный по незнанию скрипт, а в худшем случае — скомпрометированная учетная запись, которая становится для злоумышленника плацдармом для захвата всей инфраструктуры.

Проблема в том, что традиционный подход к администрированию Windows-систем часто ставит нас перед ложным выбором: либо безопасность, либо операционная эффективность. Либо мы закручиваем гайки так, что никто не может работать, либо раздаем админские права направо и налево, надеясь на лучшее.

Но что, если я скажу вам, что этот выбор — ложный? Что существует технология, встроенная в Windows Server, которая позволяет нам совместить гранулярную безопасность, полный аудит и удобство автоматизации? Технология, которая превращает администрирование из «искусства» в точную инженерную дисциплину.

Имя ей — Just Enough Administration (JEA), и в связке с PowerShell Remoting она способна кардинально изменить ваш подход к управлению серверами.

Эта статья — не просто теоретический обзор. Это пошаговое, выстраданное на практике руководство по внедрению JEA в реальной продакшен-среде на Windows Server 2019/2022. Мы пройдем весь путь: от понимания фундаментальных принципов до создания, развертывания и использования защищенных конечных точек (endpoints), решая по пути реальные проблемы.

Привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили 8 трендовых уязвимостей.

На многих предприятиях остаются всё ещё работать старые версии операционных систем windows, которые не обновляются, или просто не установлены обновления по непонятным причинам.  Типичный ответ у нас после обновления отвалились принтеры, и мы отключили их. В результате были использованы эксплойты по типу CVE-2019-0708, или другие приватные эксплойты, что повлекло за собой утечку информации, и вывод серверов из строя. Чтобы этого не случилось, я написал инструкцию шаг за шагом, которая позволит это предотвратить, или сузить вектор атаки.

Про IPSec много написано, поэтому здесь только настройки.

В качестве примера я взял rdp (протокол удалённого рабочего стола) и smb (сетевой протокол удалённого доступа к файлам).

Первый компьютер с именем StorageServer и ip адресом 17.17.17.200, данный компьютер находится в домене st.local, на нём находятся копии баз данных. На этом компьютере открыты порты 3389 (rdp) и 445 (smb). Нам нужно защитить этот компьютер, даже если на нём нет обновлений безопасности.

Второй компьютер с именем adminivan и ip адресом 17.17.17.17, данный компьютер находится в домене st.local, c которого администратор подключается с учётной записью storageadmin.

Для получения сертификатов пользователя нужно развернуть центр сертификации. Для этого нужно установить роль сервера, службы сертификатов Active Directory.  Есть куча статей как его развернуть и настроить, не будем на этом подробно останавливаться. Имя моего центра сертификации IPSecCA.  

 Запускаем на StorageServer  wf.msc и откроется монитор брандмауэра, переходим на вкладку входящие подключения и смотрим.

Речь идёт только про Windows. И клиент и сервер VNC на Windows. На других системах они работают иначе.

Интересная подборка удобных и полезных утилит на ваш компьютер, которые могут облегчить жизнь или сэкономить вам время!

Привет, Хабр! Сегодня хочу поделиться интересным опытом — я решил стать бета-тестером одной из российских ОС, а точнее — МСВСфера 10. В этой статье я расскажу об этом опыте, а также поделюсь своими мыслями о развитии российских ОС. Если вам тоже интересна эта тема, заходите под кат, давайте поговорим о реальных возможностях отечественных разработчиков версий Linux.

Наверняка вы уже слышали о том, что у Microsoft есть проблема с повреждением SSD-накопителей, которые работают в компьютерах под управлением Windows 11. И вот теперь компания выпустила новое заявление, которое должно ответить на жалобы пользователей, которые появлялись довольно часто. Проблема крылась в обновлении Windows 11 KB5063878. Но Microsoft утверждает, что всё проверила и не нашла связи между обновлением и сбоями в работе накопителей. Кажется, тут надо разобраться чуть более подробно.

При создании высокопроизводительных приложений под Windows мы обычно используем разные счётчики производительности для профилировки "узких мест" в коде. Вашему вниманию предлагается небольшой этюд, позволяющий получить чуть больше информации о том, чем же занимается процессор под капотом нашего компьютера.

Решив не ждать "компьютерного специалиста" я принялся за установку операционной системы Windows с пачки дискет. Можно сказать, что прокрастинация компьютерного мастера послужила для меня толчком в направлении самостоятельного изучения ПО.

Дай человеку удочку дистрибутив - и пусть ****тся сам.

И вот, чудо свершилось. Графический интерфейс, иконки. Но нас волнует что? Правильно, содержимое компакт-диска с буквами на немецком.
Уже догадались, что же там было?

В предпраздничный сокращённый день с коллегами решили, а чего бы нам немного не погонять в Quake III Arena. Игруха кроссплатформенная, легко устанавливается и можно прекрасно помеситься.

После такого замеса нам захотелось по вечерам дома, дабы после работы не задерживаться. Поэтому было принято соломоново решение сделать свой сервант для игр и сваять инструкцию для установки Quake III на все используемые домашние системы. Таким образом, и родилась эта статья.

Процесс lsass.exe (Local Security Authority Subsystem Service) — критически важный компонент ОС Windows. Он отвечает за аутентификацию пользователей и управление учетными данными. В его памяти хранятся хэши паролей NTLM, билеты Kerberos, данные сессий, а в некоторых конфигурациях — даже пароли в открытом виде, если используется устаревший протокол WDigest. Столь высокая концентрация секретов делает lsass.exe лакомой целью для злоумышленников, получивших доступ к системе.    

После Initial Access фазы атакующий будет стремиться повысить привилегии и двигаться дальше по сети. Дамп памяти lsass.exe — самый прямой и часто самый простой способ достичь этих целей, поскольку при отсутствии защиты атакующий очень легко извлекает оттуда данные для проведения атак Pass-the-hash и Pass-the-ticket. В то же время, для атаки на незащищенный lsass.exe, нужно сравнительно немного: права локального администратора и Mimikatz. Таким образом, защиту этого процесса, по моему мнению, нужно внести в базовый набор мероприятий для любой инфраструктуры с Windows-машинами. 

Существуют различные методы получения дампа lsass.exe. В материале мы рассмотрим как тривиальные, так и более изощренные, но не с позиции атакующего. Поскольку основная часть материала будет посвящена методам защиты lsass от извлечения данных, знакомство с различными способами атаки будет играть вспомогательную роль для лучшего понимания механики защитных мер. 

Вторая часть рассказа об ассемблере под Windows. Здесь я расскажу про 64-разрядные приложения в Windows, чем отличается MASM 64 от MASM 32, про макросы из MASM 64 SDK, как работать с Юникодом на примере простого консольного REPL'а, а ещё как обойтись без Visual Studio и пользоваться masm просто из командной строки.

Первая часть — Assembler для Windows в Visual Studio.

В данной статье будет рассказано, как можно довольно просто сделать маленькое интро используя язык Rust. Будет очень много Unsafe и WinAPI кода, а так же предполагается, что читатель уже хоть немного знаком с OpenGL 3.3.

Простейший способ распознавания жестов – обработка направлений: задаём набор допустимых, каждые n пикселей сдвига мыши фиксируем направление нового сегмента и сравниваем получившуюся последовательность с эталонными паттернами вида ↑ ↑ ↓ ↓ ← → ← →.

Современный – машинное обучение, конечно. Это самостоятельная категория со своими алгоритмами и правилами.

Золотая середина – сравнение шаблонов. Здесь мы представляем жест в виде набора точек, которые, с несколькими дополнениями, сравниваем с эталонными – чаще всего с помощью косинусного сходства или различных метрик расстояния.

Последний я и взял для своего проекта. Получилось замечательное расширение функционала, которое можно использовать и само по себе, на что и посмотрим дальше.

Всем привет!

Сегодня речь пойдет о распределенном обратном прокси-сервере ngrok и эксплуатации его возможностей атакующими. По данным MITRE ATT&CK инструмент используется различными APT группировками, в том числе в атаках направленных на компании в России и странах СНГ, что упоминается в Ландшафте киберугроз от команды Kaspersky Cyber Threat Intelligence и в статье Распутываем змеиный клубок: по следам атак Shedding Zmiy.

В данной статье мы рассмотрим примеры использования ngrok в операционных системах Windows и Linux, а также определим маркеры, по которым можно выявить его использование.

TL;DR

1. Вам приходит письмо с «вкусной» вакансией Web3-разработчика.

2. После короткой переписки «работодатель» назначает интервью.

3. Перед интервью просят установить «корпоративное приложение» или «софт для видео конференций».

На деле приложение крадёт приватные ключи от кошельков и доступы к аккаунтам.

WSL2 — удобный инструмент, но, как и любая технология, он не идеален. В этой статье я хочу рассказать о нескольких подводных камнях, с которыми столкнулся сам, и о том, как их можно обойти. Мы не только разберем решения распространенных проблем, но и раскроем потенциал WSL2: запустим Docker с GPU-ускорением для нейросетей и даже Android Studio. Забудьте о конфликтах сред и долгой настройке после переустановки системы — превратите WSL2 из источника проблем в мощный инструмент, который работает на вас

В настоящее время от игроков, желающих участвовать в онлайновых многопользовательских сеансах, в античитерских движках обязательно требуется включить безопасную загрузку (Secure Boot) и встроенный доверенный платформенный модуль (fTPM). Удастся ли таким образом обуздать читеров, или же это бесплодная попытка купировать разрастающуюся проблему?

Я хотел видеть состояние своих CPU и ОЗУ прямо в трее панели задач, чтобы не открывать дополнительные окна, по типу cpuz или CoreTemp. Решил написать свою фоновую программу с возможностью настроек и вот что получилось.