В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

IT talks

613 membersпожаловаться на группу
2021 April 19

J

JIexa in IT talks
народ. подскажите плиз, в домене есть политика на блокировку учётных записей при неправильном вводе пароля больше 3х раз.  (id лога 4740)
в обычном состоянии оно пишет с какой машины была блокировка.
но начали появляться таткие события с пользователями. user,test,postmaster,max и т.д.
Так вот в этих событиях имя машины не пишется откуда произошла блокировка. Как ещё можно поймать вредителей?
источник
18:23пожаловаться#1

EV

Evgeny V. in IT talks
Exchange external?
источник
18:41пожаловаться#2

D

Dupe in IT talks
Это для первого мира, где государственный и загран - это одно и тоже
источник
18:42пожаловаться#3

EV

Evgeny V. in IT talks
И учтите, что при включенной политике блокировки УЗ - вы подвержены прекрасной атаке, когда сливают адресную книжку или список всех учеток в AD
и через внешнюю публикацию просто блочат весь домен, так как обычно и у администраторов есть например почта)
источник
18:49пожаловаться#4

SG

Segrey Galaktionov in IT talks
Ну есть builtin\Administrator, которого невозможно заблочить
источник
18:52пожаловаться#5

SG

Segrey Galaktionov in IT talks
Если мы про lockout говорим
источник
18:52пожаловаться#6

J

JIexa in IT talks
но я тогда вижу в этом событие имя сервера, если идёт блокировка с почтовика
источник
18:56пожаловаться#7

J

JIexa in IT talks
типа имя вызывающего компьютера: mail
источник
18:56пожаловаться#8

J

JIexa in IT talks
А у неё есть название ?
источник
19:03пожаловаться#9
2021 April 20

А

Андрей in IT talks
там нет никакой связи с политикой блокировки уз. там смысл во времени ответа сервера с правильным логином и неверным. при верном(сущесуествующем) логине ответ сервера чуть быстрее чем несуществующем.
и опять же нужен список записей для такого брута. короче в лоб замучаешся так перебирать адресную книгу, если не знаешь как формируются логины. а если знаешь, то это уже вероятно нацеленая атака, а там уже сложнее.
как-то так
источник
02:25пожаловаться#10

А

Андрей in IT talks
это вот с этой вот степи https://blog.nvisium.com/time-based-username-enumeration
источник
02:44пожаловаться#11

ГН

Григорий Наумов... in IT talks
На время дебага можно включить журнал отладки https://docs.microsoft.com/ru-ru/troubleshoot/windows-client/windows-security/enable-debug-logging-netlogon-service
источник
04:18пожаловаться#12

EV

Evgeny V. in IT talks
Вы точно хотите со мной это обсудить?))))
источник
07:42пожаловаться#13

А

Андрей in IT talks
да расскажи пожалуйста как политика блокировки помогает сливать адресную книгу, интересно.
источник
07:43пожаловаться#14

EV

Evgeny V. in IT talks
Речь про следующий этап, когда адресная книга слита.
А для её слива нахрен не надо делать enumeration, достаточно подобрать креды одного юзера.
источник
07:46пожаловаться#15

А

Андрей in IT talks
я уж было подумал, что ты сказал, что политика блокировки помогает сливать адресную книгу. как-то неоднозначно написал.
источник
07:50пожаловаться#16

А

Андрей in IT talks
@angrypuffin и как быть? не использовать политику блокировок учетных записей?
источник
07:53пожаловаться#17

J

JIexa in IT talks
+
источник
07:53пожаловаться#18

EV

Evgeny V. in IT talks
Ессно
Либо использовать, но все же мониторить этот процесс
источник
07:55пожаловаться#19

А

Андрей in IT talks
ок, брутят через OWA(условно говоря) учётку сотрудника. что дальше делать?
2fa например нету.
источник
07:57пожаловаться#20