Обновить

Типичные ошибки настройки Active Directory

Время на прочтение5 мин
Охват и читатели10K
Всего голосов 7: ↑7 и ↓0+7
Комментарии4

Комментарии 4

Практическая ценность статьи околонулевая.

Из статьи сложилось впечатление, что SMB шары - зло, но это не так, это самый распространённый инструмент и нет ничего плохого в разрешениях для Domain Users. Анонимные шары MS запретили по умолчанию со времён Windows XP SP2 (но можно было включить).

С сертификатами тоже жёсткая фантазия. Просто потому, что это требует слишком много телодвижений от админа, а запроса от бизнеса на такую реализацию аутентификации не бывает, только от службы ИБ. Наличие службы ИБ говорит о том, что в компании есть деньги на людей, которые шарят в этой теме и сводят описанные сценарии к нулю.

С керберос делегированием примерно, как с сертификатами - никто туда просто так не лезет, если нет требования в деплой гайде к софту.

Локальные учётные записи с паролями, совпадающие на нескольких машинах - это не про ADDS.

Из частых ошибок, которые в 8 доменах из 10 в компаниях, где один админ и до 100 пользователей: пользователи в группе Domain Admins, потому что «директор должен иметь доступ» или «срочно дал доступ, забыл убрать», да структура OU кривая из-за того, что не умеет пользоваться фильтрацией в GP, и жуткие права на контейнеры и учётные записи «потому что хотел настроить делегирование» или «защищал учётные записи».

Локальные учётные записи с паролями, совпадающие на нескольких машинах - это не про ADDS.

Примерно в каждой 1й ЛВС предприятия. В каждой второй под ней проводят сервисные работы в интерактивном сеансе.
Естественно админы самоучки без прохождения курсов. Ествественно они так привыкли и хорошо если не на каждую машину ставят софт ручками под учётной записью пользователя временно загнанного в группу локальных администраторов, а то вдруг чего.

Здравствуйте! Отличный обзор ключевых проблем AD. Спасибо, что структурировали их.

Вопрос в развитие темы: не считаете ли вы, что для полноты картины в статье не хватает кратких рекомендаций по обнаружению этих атак? Например, зная про Kerberoasting, полезно сразу сказать о мониторинге множественных запросов сервис-билетов (Event ID 4769). А для NTLM Relay — о необходимости отслеживания аномалий в аутентификации, пока подпись не включена.

Было бы уместно, на ваш взгляд, дополнить материал такими практическими советами по мониторингу?

Как написал комрад первым же постом: большинство проблем вообще не про домен, а оставшиеся проблемы почти с 100% вероятностью исходят от руководства компаний, типо чтобы директор тоже имел права, как у админа… Потом приходит такой вот аудитор и начинает по бумажке читать то, что он заметил, как буд то админ не понимает, что нельзя делегировать админские права на учетку директора, только вот в чем ситуация - директор платит бабки админу, а не наоборот, поэтому после такого аудит вылазит кругленькая сумма на закупку техники, найм новых сотрудников и урезание прав директору и почему то сразу аудитору платят его гонорар и отправляют в пешее путешествие, и все снова встает на круги своя)))

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Информация

Сайт
vkusvill.ru
Дата регистрации
Дата основания
Численность
свыше 10 000 человек
Местоположение
Россия