Jump to content
Sign in to follow this  
  • entries
    16
  • comments
    22
  • views
    5509

Entries in this blog

 

Windows Server 8, features

Καλησπέρα! Για όσους θέλουν να πάρουν μια πρόγευση τι μας επιφυλάσσει η καινουργια έκδοση του Windows Server, μη χάσετε το πολύ ενδιαφέρον άρθρο του Mark Minasi! http://www.minasi.com/newsletters/nws1109.htm Στα επόμενα posts θα συζητήσουμε τα περισσότερα από αυτά αναλυτικότερα. Φιλικά SOF

SOF

SOF

 

SID GUID Base64 Converter

Hi guys, excuse me for posting in English, but I wanted to share this article also with my friends abroad. Many of you have already heard of this small tool I’ve written. What it basically does is the following: It accepts a GUID or a SID in a text or a Base64 format and it converts it to either Base64 or text. Besides that it creates an output for binary search in LDP. Using that output you can search Active Directory for an attribute matching the SID or GUID value you entered above.

SOF

SOF

 

Bitwise searching

Καλησπέρα! Στους περισσότερους από εσάς είναι γνωστό το παρακάτω interface. Προφανώς αρκετοί διαχειριστές που θέλουν να έχουν μια γενική εικόνα του domain, χρειάζονται ένα report που να διαβάζει πληροφορίες του τύπου: Ποιοι λογαριασμοί έχουν set το flag “Password never expires”. Για να ανακτήσουμε όμως αυτή την πληροφορία πρέπει να γνωρίζουμε που αποθηκεύεται στο Active Directory. Η απάντηση είναι στο user-account-control attribute κάθε χρήστη! Το attribute αυτό είναι ένας μυστικός θησαυρ

SOF

SOF

 

DNS load balancing for DCs

Και μιας που πιάσαμε το θέμα του performance, συνεχίζω με το θέμα του load balancing όπου έχω να σας δώσω μια έξυπνη συμβουλή. Ας πούμε ότι πήραμε τελικά την απόφαση να προσθέσουμε ή να αντικαταστήσουμε μερικούς DCs με καινούργιο hardware. Βλέπουμε λοιπόν το εξής φαινόμενο το οποίο όμως εξηγείται λογικά. Οι παλιοί DCs έχουν ένα μέσο CPU load 50% και οι καινούργιοι 15%. Προφανώς πρέπει στο περίπου να εξυπηρετούν τον ίδιο αριθμό από LDAP ή authentication requests. Μόνο που οι καινούργιοι δεν

SOF

SOF

 

LSASS: 100% CPU Load on a Domain Controller

Καλησπέρα! Πιστεύω πολλοί από εσας έχουν βρεθεί στην κατάσταση που περιγράφω στον τίτλο. Δεν χρειάζεται πανικός όμως. 100% CPU στον DC λόγω του LSASS για περιορισμένο χρονικό διάστημα δεν αποτελεί από μόνο του πρόβλημα. Το LSASS είναι το πιο σημαντικό service επάνω σε εναν DC και έχει σχεδιαστεί να δεσμεύει ότι πόρους χρειάζεται για να ολοκληρώσει τις εργασίες του. Εξάλλου γιατί τον έχουμε τον επεξεργαστή για να δουλεύει ή να κάθεται; Τα προβλήματα ξεκινάνε όταν το load δεν πέφτει κάτω α

SOF

SOF

 

Password Policies and empty Passwords

Κάποιοι από εσάς ίσως να έχουν αναρωτηθεί, γιατί ένας Admin έχει την δυνατότητα μέσω του MMC Active Directory Users and Computers να βάζει κενό password σε έναν user του domain παρόλο που έχουμε σε ισχύ τα Password Policies “Minimum password length” και “Password must meet complexity requirements”. Το μυστικό βρίσκεται σε ένα AD Attribute του User Object. To UserAccountControl. Εάν το Attribute αυτό περιέχει το flag UF_PASSWD_NOTREQD, τότε μπορεί ένας Administrator να παρακάμψει τα Password

SOF

SOF

 

Hey Domain Admin I’m watching you! Part 2

Ιδού λοιπόν για τους δύσπιστους. Θεωρία: Hernan Ochoa - Pass-The-Hash Toolkit for Windows Πράξη, είναι ποσταρισμένο στο youtube, με ότι αυτό συνεπάγεται: Συμπέρασμα; ΜΗΝ ΚΑΝΕΤΕ LOGIN ΜΕ DOMAIN ADMIN CREDENTIALS ΠΑΡΑ ΜΟΝΟ ΕΚΕΙ ΠΟΥ ΕΙΝΑΙ ΑΠΟΛΥΤΩΣ ΑΝΑΓΚΑΙΟ. Σχόλια;   Greetings SOF

SOF

SOF

 

Hey Domain Admin I ‘m watching you!

Αυτό το post είναι μια μικρή υπενθύμιση σε όλους εμάς τους Domain Admins, κάτι σαν post it. Ποτέ (και το εννοώ), ποτέ μην χρησιμοποιείτε έναν Domain Admin για συντήρηση, troubleshooting, online βοήθεια σε workstations του Domain. Ο ρόλος του Domain Admin είναι αυστηρά περιορισμένος , και τα μηχανήματα που πρέπει να κάνει login συγκεκριμένα και απολύτως ελεγχόμενα. Αμφιβάλλω αν υπάρχουν καθημερινές εργασίες συντήρησης σε workstations και member servers που χρειάζονται domain admin rights.

SOF

SOF

 

And what about dashes?

Σήμερα το μενού έχει scripting. Πώς κάνουμε export την τιμή ενός AD Attribute με vbscript? Ξέρω, ξέρω προφανώς και υπάρχουν αμέτρητα άρθρα επί του θέματος, αλλά διαβάστε τα παρακάτω και δεν θα χάσετε! Αρχίζουμε με τα απλά: Τι γίνεται αν το Attribute name περιέχει τον χαρκτήρα “-“; Ύστερα από αρκετό ψάξιμο βρίσκουμε το εξής post του γνωστού scripting guy: http://blogs.technet.com/heyscriptingguy/archive/2005/06/21/how-can-i-retrieve-the-value-of-an-active-directory-attribute-that-has-a-h

SOF

SOF

 

Windows 2008 R2 Schema update, lingering objects

Πλησιάζοντας τον μήνα από το Release Date των Windows 2008 R2, ήδη πολλές επιχειρήσεις έχουν στο καλεντάρι τους την εγκατάσταση του πρώτου τους Windows 2008 R2 Domain Controller. Με την ευκαιρία αυτή θα δούμε σε συντομία τι πρέπει να προσέξουμε πριν την αναβάθμιση του Schema του AD σε R2 σχετικά με τα lingering objects. Προφανώς επειδή πρόκειται για σχετικά κανούργια διαδικασία, ενδέχεται να υπάρχουν σημεία τα οποία δεν τα έχω λάβει υπόψη. Σχόλια και παρατηρήσεις είναι ευπρόσδεκτα. Ας αρχίσουμ

SOF

SOF

 

Unix/Linux keytab files και Windows Server 2008 DCs

Γειά σας και πάλι μετά από καιρό. Έχω μαζέψει τόσα πολλά θέματα που θέλω να μοιραστώ μαζί σας που δεν ήξερα από που να αρχίσω. Διάλεξα λοιπόν να συνεχίσω από εκεί που σας άφησα την τελευταία φορά. Η ιδέα ανήκει στον GSimos. Το μενού σήμερα έχει λίγο απ’όλα, Windows, Linux, και το αγαπημένο μου θέμα που είναι: μαντέψτε Kerberos. Πριν αρχίσω μια μικρή διευκρίνηση, οι γνώσεις μου σχετικά με το Linux είναι <=0, οπότε θα περιοριστώ αποκλειστικά σε αυτά που θα τεστάρω. Το σημερινό θέμα είνα

SOF

SOF

 

Ξαφνικό κλείδωμα πολλών Active Directory Accounts

Αρχικά έρχεται στο μυαλό μας ότι κάτι δεν πάει καλά με το Account Lockout Policy, ή κάποιες υπηρεσίες στις  οποίες υπάρχει καταχωρημένος ένας κωδικός που έχει λήξει. Όταν όμως αυτή η συμπεριφορά όσο πάει και χειροτερεύει και δεν αφορά έναν μοναδικό λογαριασμό αλλά περισσότερους, είναι πιθανό να έχουμε μια επίθεση στο δίκτυό μας. Όταν για παράδειγμα ένα πρόγραμμα ή ένα Malware προσπαθεί να σπάσει τους κωδικούς διάφορων χρηστών με Brute Force Attack. Όταν μια τέτοια επίθεση είναι αυτοματοποιημέ

SOF

SOF

 

Hide objects in Active Directory from specific users

Γεια σας, είμαι o Sof! Μπαίνω και εγώ στο trend των ημερών, το outsourcing. Σήμερα θα δούμε πώς μπορούμε να κρύψουμε συγκεκριμένα objects του Active Directory από επιλεγμένους χρήστες ή Groups. Παίρνουμε για παράδειγμα το εξής σενάριο .Έχουμε ένα Active Directory Integrated Application που τρέχει στο περιβάλλον μας. Αυτό το application εξυπηρετεί δύο διαφορετικές τράπεζες. Σκοπός μας είναι να μην αφήνουμε τους χρήστες της τράπεζας Α να μπορούν να δουν τα Active Directory objects της τράπεζας Β

SOF

SOF

 

Kerberos Delegation (Μέρος 3ο, troubleshooting)

Γεια σας! Είμαι ο Sof, σήμερα θα αφιερώσω ολόκληρο το post στο troubleshooting του Kerberos Delegation. Σε έναν ιδανικό κόσμο όπου τα event logs είναι κάτασπρα δίχως errors και warnings (τα warnings με εκνευρίζουν αφάνταστα!), κανονικά θα έπρεπε να παραλείψω αυτή την ενότητα. Δυστυχώς αυτή η εποχή αργεί ακόμα. Ας αρχίσουμε λοιπόν. Θα προσπαθήσω να κρατήσω το post απλό, σε καταστάσεις που "καίνε" δεν υπάρχουν περιθώρια για περιττές πληροφορίες. Εφόσον διαπιστώσουμε ότι τα πράγματα δεν λειτο

SOF

SOF

 

Kerberos Delegation (Μέρος 2ο, Protocol Transition)

Γεια σας και πάλι, Sof σπικινγκ (κλεμμένο ) . Ύστερα απο ένα αναπάντεχο disk failure που με ανάγκασε να ξαναφτιάξω το virtual environment είμαι πάλι εδώ για να συνεχίσουμε την εξερεύνηση μας. Το θέμα μας σήμερα είναι: Protocol Transition. Στο πρώτο μέρος είδαμε πώς μπορούμε να μεταφέρουμε τα credentials ενός χρήστη από tier σε tier χρησιμοποιώντας Kerberos Constrained Delegation. Προφανώς προβληματιστήκατε από το γεγονός ότι αφορά μόνο περιβάλλοντα όπου ο web client, web server και SQL se

SOF

SOF

 

Kerberos Delegetion (Μέρος 1ο, Implementation)

Γεια σας, είμαι ο Sof. Το θέμα μας σήμερα είναι: Kerberos Delegation. Όσοι από εσάς έχουν μπει στην διαδικασία να διαχωρίσουν τα tiers ενός application σε διαφορετικά μηχανήματα εντός του εταιρικού σας δικτύου, και προσπάθησαν τα διατηρήσουν το Single Sign On, έχουν έρθει σίγουρα αντιμέτωποι με το πρόβλημα της προώθησης των credentials του χρήστη από tier σε tier. Είναι μια διαδικασία που απαιτεί ιδιαίτερη προσοχή, προκειμένου να απαλειφτεί ο κίνδυνος του identity spoofing. Μερικά από τα σημ

SOF

SOF

Sign in to follow this  
×
×
  • Create New...