Active Directory

  • ХабрахабрФото Модели разработки на примере интеграции OpenID Connect

    Модели разработки на примере интеграции OpenID Connect

    Привет! Меня зовут Алексей Дёрин, и я являюсь ведущим разработчиком в КРОК Облачные сервисы.  Не так давно в нашем Облаке КРОК мы зарелизили одну небольшую фичу — возможность авторизации через OpenID Connect. На примере её разработки я хочу показать, как процесс создания и доведения до конечного результата ложится на различные существующие практики разработки. Речь пойдет об итеративном и инкрементальном подходах разработки, об Agile, пресловутом…

    Читать далее »
  • ХабрахабрФото ОС «Альт» — групповые политики в Linux, как в Windows

    ОС «Альт» — групповые политики в Linux, как в Windows

    Смешанной инфраструктурой надо управлять, в идеале — из единого центра на основе единых групповых политик. Задачу решили разработчики компании «Базальт СПО». Они дополнили линейку операционных систем «Альт» набором инфраструктурного ПО, которое обеспечивает единое управление компьютерами с ОС «Альт» и Windows, и их пользователями. Решение позволяет избежать двойных затрат на поддержку ИТ-инфраструктуры в переходный период. Сегодня тысячам государственных и коммерческих организаций…

    Читать далее »
  • ХабрахабрФото Active Directory глазами Impacket

    Active Directory глазами Impacket

    При аудите Windows-инфраструктур Impacket является швейцарским ножом, позволяя активно взаимодействовать с устройствами по сети, для которых проприетарным (родным или умолчательным) инструментом, конечно же, является, PowerShell. Но так уж сложилось, что использовать последний из-под Linux – не лучшая практика, с учётом имеющихся для этого open source решений. Будучи написанным на возлюбленном в IT-сообществе Python, Impacket оставляет только положительные эмоции от использования,…

    Читать далее »
  • ХабрахабрФото Аудит пользователей AD с помощью Powershell

    Аудит пользователей AD с помощью Powershell

    омен Active Directory может содержать в себе сотни и даже тысячи учетных записей и для управления всеми этими аккаунтами администратору требуется значительное количество времени. Даже, если у нас уже все аккаунты разнесены по группам, ко всем группам применены политики и настроены права доступа, все равно могут возникнуть ситуации, когда по тем или иным причинам нам необходимо найти полную информацию о…

    Читать далее »
  • ХабрахабрФото Пентест корпоративной сети: о пользе своевременных патчей Microsoft AD

    Пентест корпоративной сети: о пользе своевременных патчей Microsoft AD

    Сегодня поделюсь с вами историей из практики, которая наглядно покажет, к каким быстрым и катастрофическим последствиям может привести задержка с установкой патчей для серверного ПО. В работе я нередко сталкиваюсь с уязвимостями, связанными с важнейшим компонентом корпоративных версий Microsoft Windows Server — средой службы каталогов Active Directory (AD). Весной прошлого года я убедился, насколько быстро основной механизм, обеспечивающий разграничение прав…

    Читать далее »
  • ХабрахабрФото Самый простой способ ввести Linux в домен

    Самый простой способ ввести Linux в домен

    Всем привет! Термин Microsoft Active Directory Domain Services включает в себя множество технологий, поэтому сразу уточню, в этой статье речь пойдет про использование контроллера домена только для аутентификации пользователей. То есть в финале, нужна возможность любому сотруднику предприятия сесть за любую рабочую станцию Linux, используя свой доменный логин и пароль. Начиная с Windows 2000 Server для аутентификации пользователей домена используется…

    Читать далее »
  • ХабрахабрФото Weak Pass Detector – запрет на использование утекших паролей в контроллере домена

    Weak Pass Detector – запрет на использование утекших паролей в контроллере домена

    Всем привет! Меня зовут Иван Нагорнов, я руководитель направления в Лаборатории кибербезопасности Сбербанка. В данной статье будет сделан обзор и предложение к использованию одной из наших разработок, которая направлена на минимизацию использования утекших паролей из открытых источников в контроллере домена. Мы уверены, что данная идея и ее реализация будут полезны для ИБ сообщества. Прежде чем перейти к теме публикации, добавлю…

    Читать далее »
  • ХабрахабрФото Точно ограничили? Обход отсутствия Protocol Transition и группы Protected Users при ограниченном делегировании Kerberos

    Точно ограничили? Обход отсутствия Protocol Transition и группы Protected Users при ограниченном делегировании Kerberos

    Всем привет! Сегодня я хотел бы затронуть такую тему как ограниченное делегирование kerberos. На просторах интернета существует множество статей как злоупотреблять этим типом делегирования, но на хабре я не нашел статей про обход ограничений. А конкретно о настройке делегирования с Protocol Transition и олицетворяемом пользователе в группе Protected Users. Но как быть, если мы получили хэш машинной учетки или пароль пользователя, и видим…

    Читать далее »
  • ХабрахабрФото Основы атак на Active Directory

    Основы атак на Active Directory

    По мере роста организации за счет увеличения числа сотрудников, необходимых для поддержки повседневных бизнес-функций, также увеличивается количество устройств, подключенных к сети организации. Несмотря на то, что организация небольшая, в сети очень мало пользователей и компьютеров, и не всегда требуется выделенная ИТ-команда. Самое главное, поскольку в небольшой компании очень мало пользователей, ИТ-специалист может легко создать локальную учетную запись пользователя в каждой…

    Читать далее »
  • ХабрахабрФото Делегируй меня полностью, или Новый взгляд на RBCD-атаки в AD

    Делегируй меня полностью, или Новый взгляд на RBCD-атаки в AD

    1. Сферическое RBCD в вакууме Ограниченное делегирование на основе ресурсов (Resource-Based Constrained Delegation, RBCD) появилось в ОС Windows Server 2012 и представляет из себя концепцию олицетворения пользователей сервером (то есть сервисной учетной записью) в ситуации, когда пользователь проходит проверку подлинности по паролю, а серверу нужно выполнить то или иное действие от его имени по Kerberos-билету в информационной системе по соседству.…

    Читать далее »


Кнопка «Наверх»