Как правильно чинить политики, поломанные патчем MS16-072/KB3159398:
grouppolicy.biz
blogs.technet.microsoft.com
В целом — несложно (добавляем явно разрешение Read для Authenticated Users/Domain Computers), но лучше это сделать ДО применения замечательного патча : )
После обновления KB3159398 от 14 июня все пользовательские политики с Security Filtering по группе пользователей пайдут паписде. Кардинальненько так, чоужтам... Чо делать — хбз. Для начала — не разворачивать это обновление в глобальном продакшене.
grouppolicy.biz
blogs.technet.microsoft.com
sdmsoftware.com
goo.gl
technet.microsoft.com
Одна из причин, по которой крайне нежелательно использовать реальные, но непринадлежащие организации доменные имена 2-го уровня для внутренней инфраструктуры леса АДе: us-cert.gov
Толково про расстановку групп безопасности в АДе по феншуям и миграцию между лесами-доменами. Не пытайтесь повторить это дома, как говоритцо : ))
argon.pro
argon.pro
Setting external time source in AD: pastebin.com
/VIA richardspowershellblog.wordpress.com
How to configure IIS to support large AD Token with Group Policy: grouppolicy.biz
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\HTTP\\Parameters]
"MaxFieldLength"=dword:0000ffff
"MaxRequestBytes"=dword:01000000
Безопасность всей сети определяется безопасностью ее самого слабого звена. Азбука, конечно, но внимательно прочуйствовать — никогда не помешает.
Вполне себе рабочий сценарий: есть незапатченная икспешечка, которая пробивается эксплойтом. Опа раз — ты уже SYSTEM на ней. Пара волшебных пассов — и раздербанен пароль пользователя, который на ней работает. Опа два — и ты уже доменный пользователь, который может прочитать доменные политики из сисвола, в которых, естестно, задается пароль локального администратора на все сервера и рабочие станции домена, а декодировать тот пароль — абсолютно тривиальная задача.
Опа три — и ты уже локальный администратор всея серверов домена. Несколько часов сканирования под локал-админом — и найден сервер, на котором висит дисконнектнутая домен-админская сессия. Пара волшебных пассов на этом сервере — и из админской сессии вытаскивается токен доступа какого-нить домен-админского процесса, с которым делается подключение к контроллеру. Опа четыре — и ты уже домен-админ, который может создать пользователя CoolHazker с паролем P@ssw0rd и включить его в Domain Admins : ) Опа пять — и ты можешь делать со всем доменом что захочешь, подключаться к чему угодно, вешать кейлоггеры и развлекаться любыми другими способами, ограниченными только безразмерной фантазией.... Такие дела.
Способов борьбы вижу немного: икспи — в хлам и утиль, за административные пороли в групповых политиках — расстрела на месте, ну и пытаться ограничить удаленное использование локальных аккаунтов, что может быть нетривиальной задачей.
Хорошее видео для медитации и мотивации: youtube.com
При создании пользователя простыми скриптами нагугленными гуглением, пользователь будет создаваться с флагом PASSWD_NOTREQD, который нельзя увидеть/изменить в гуях. На практике это означает, что даже при доменной политике сложных паролей в 256 символов, администратор через Reset Password в консоли ADU&C dsa.msc может сбросить пароль пользователя на любой, втч и пустой, что вполне себе такая чорная дыра в безопасности : ))
Do You Allow Blank Passwords In Your Domain? blogs.technet.com
Controlling the Password Not Required Property Using Update-Password-Not-Required-Bit: windowsitpro.com
support.microsoft.com
Administrative Templates (.admx) for Windows 10. RSAT-ов еще хочу-хочу и можно будет начинать думать за апгрейд : )
grouppolicy.biz
microsoft.com
DFSRAdmin & DFSRDiag для маленьких чайников кофейников:
blog.wadmin.ru
blog.wadmin.ru
Quickly Explained: Migrate Your SYSVOL Replication from FRS to DFSR: blogs.technet.com
Active Directory Delegation via PowerShell: blogs.technet.com
pastebin.com
pastebin.com
Administrative Templates for Windows 8.1 Update and Windows Server 2012 R2 Update: microsoft.com
Толковая серия статей за поднятие интегрированного с АДе сквид-прокси для тырпрайзов, после умирания TMG: blog.it-kb.ru
Active Directory: LDAP Syntax Filters social.technet.microsoft.com
Посчитать число пользователей (All/Enabled/Disabled) в юните/дереве: pastebin.com
Securing Public Key Infrastructure: aka.ms
technet.microsoft.com
Securing Active Directory An Overview of Best Practices: aka.ms
technet.microsoft.com
Закончились, походу мои битвы с самбой, насом и 2012-ым контроллером, за что нет повода не выпить : )
Оказалось, что проблема не на стороне вложенных групп, а на стороне Local Domain Security Groups, которые NAS категорически перестает узнавать и резолвить в SID-ы. Сей внезапный бином ньютона позволил уже разобраться и найти решение.
В общем, виновные, коими оказались Kerberos Token Bloat & 2012 Resource SID Compression найдены и сурово отпизжены. Что характерно — глобальное отключение SID Compression на 2012-ом контроллере через DisableResourceGroupsFields не помогло, зато помог волшебный пендель в виде повершелловского скрипта, исправившего атрибут msDS-SupportedEncryptionTypes у компутерного объекта NAS-а в АДе.
ЗЫЖ Если собрать всю кровь, которую у меня выпил этот Kerberos Token Bloat энд смежные проблемы, ее хватит на автономное существование небольшой колонии вампиров в течение пары веков... : )))
pastebin.com
support.microsoft.com
blogs.technet.com
blogs.dirteam.com
samba.2283325.n4.nabble.com
Всетки самба — совершенно блиаццкая поделка, которая иногда даже работает : ) В виде версии 3.5.2 жила она себе отлично и хорошо, как AD domain member в NAS-е, пока в сети не появился 2012-ый контроллер. После появления этой лишней сучности — тупо перестает аутентифицировать доменных пользователей. Все что можно было сделать в венде — сделал, но безрезультатно.
Обычный 2012 сервер спокойно и прозрачно получает доступ к шарам наса. 2012 контроллер — фиквам. Более печально, что при включенном 2012-ом контроллере отваливаются произвольно шары этого НАС-а и на всех клиентах. Оставляю 2008R2 DC — все снова начинает работать : )
Пришла пора обновить NAS, NAS сам не обновится. Но совершенно никакой уверенности, что обновление как-то поможет подружить его с 2012-ым контроллером и доменом : (
Если понял и постиг, как работает репликация в АДе, можно спокойно умирать, ящетаю, и в рай примут без очереди : )
Кстате, Active Directory, 5th Edition — Designing, Deploying, and Running Active Directory — пожалуй самая крутая и продвинутая книжка по АДе, которая мне попадалась. Вот: shop.oreilly.com