to post messages and comments.

← All posts tagged AD

После обновления KB3159398 от 14 июня все пользовательские политики с Security Filtering по группе пользователей пайдут паписде. Кардинальненько так, чоужтам... Чо делать — хбз. Для начала — не разворачивать это обновление в глобальном продакшене.

grouppolicy.biz
blogs.technet.microsoft.com
sdmsoftware.com

goo.gl
technet.microsoft.com

Безопасность всей сети определяется безопасностью ее самого слабого звена. Азбука, конечно, но внимательно прочуйствовать — никогда не помешает.

Вполне себе рабочий сценарий: есть незапатченная икспешечка, которая пробивается эксплойтом. Опа раз — ты уже SYSTEM на ней. Пара волшебных пассов — и раздербанен пароль пользователя, который на ней работает. Опа два — и ты уже доменный пользователь, который может прочитать доменные политики из сисвола, в которых, естестно, задается пароль локального администратора на все сервера и рабочие станции домена, а декодировать тот пароль — абсолютно тривиальная задача.

Опа три — и ты уже локальный администратор всея серверов домена. Несколько часов сканирования под локал-админом — и найден сервер, на котором висит дисконнектнутая домен-админская сессия. Пара волшебных пассов на этом сервере — и из админской сессии вытаскивается токен доступа какого-нить домен-админского процесса, с которым делается подключение к контроллеру. Опа четыре — и ты уже домен-админ, который может создать пользователя CoolHazker с паролем [email protected] и включить его в Domain Admins : ) Опа пять — и ты можешь делать со всем доменом что захочешь, подключаться к чему угодно, вешать кейлоггеры и развлекаться любыми другими способами, ограниченными только безразмерной фантазией.... Такие дела.

Способов борьбы вижу немного: икспи — в хлам и утиль, за административные пороли в групповых политиках — расстрела на месте, ну и пытаться ограничить удаленное использование локальных аккаунтов, что может быть нетривиальной задачей.

Хорошее видео для медитации и мотивации: youtube.com

При создании пользователя простыми скриптами нагугленными гуглением, пользователь будет создаваться с флагом PASSWD_NOTREQD, который нельзя увидеть/изменить в гуях. На практике это означает, что даже при доменной политике сложных паролей в 256 символов, администратор через Reset Password в консоли ADU&C dsa.msc может сбросить пароль пользователя на любой, втч и пустой, что вполне себе такая чорная дыра в безопасности : ))

Do You Allow Blank Passwords In Your Domain? blogs.technet.com

Controlling the Password Not Required Property Using Update-Password-Not-Required-Bit: windowsitpro.com

support.microsoft.com

Закончились, походу мои битвы с самбой, насом и 2012-ым контроллером, за что нет повода не выпить : )

Оказалось, что проблема не на стороне вложенных групп, а на стороне Local Domain Security Groups, которые NAS категорически перестает узнавать и резолвить в SID-ы. Сей внезапный бином ньютона позволил уже разобраться и найти решение.

В общем, виновные, коими оказались Kerberos Token Bloat & 2012 Resource SID Compression найдены и сурово отпизжены. Что характерно — глобальное отключение SID Compression на 2012-ом контроллере через DisableResourceGroupsFields не помогло, зато помог волшебный пендель в виде повершелловского скрипта, исправившего атрибут msDS-SupportedEncryptionTypes у компутерного объекта NAS-а в АДе.

ЗЫЖ Если собрать всю кровь, которую у меня выпил этот Kerberos Token Bloat энд смежные проблемы, ее хватит на автономное существование небольшой колонии вампиров в течение пары веков... : )))

pastebin.com

support.microsoft.com

blogs.technet.com
blogs.dirteam.com

samba.2283325.n4.nabble.com

Всетки самба — совершенно блиаццкая поделка, которая иногда даже работает : ) В виде версии 3.5.2 жила она себе отлично и хорошо, как AD domain member в NAS-е, пока в сети не появился 2012-ый контроллер. После появления этой лишней сучности — тупо перестает аутентифицировать доменных пользователей. Все что можно было сделать в венде — сделал, но безрезультатно.

Обычный 2012 сервер спокойно и прозрачно получает доступ к шарам наса. 2012 контроллер — фиквам. Более печально, что при включенном 2012-ом контроллере отваливаются произвольно шары этого НАС-а и на всех клиентах. Оставляю 2008R2 DC — все снова начинает работать : )

Пришла пора обновить NAS, NAS сам не обновится. Но совершенно никакой уверенности, что обновление как-то поможет подружить его с 2012-ым контроллером и доменом : (

Если понял и постиг, как работает репликация в АДе, можно спокойно умирать, ящетаю, и в рай примут без очереди : )

Кстате, Active Directory, 5th Edition — Designing, Deploying, and Running Active Directory — пожалуй самая крутая и продвинутая книжка по АДе, которая мне попадалась. Вот: shop.oreilly.com