Nice list of Active Directory training resources.

https://www.reddit.com/r/activedirectory/s/NGwWiyMiQ7

Групповая политология, или еще один путь к администратору домена

Привет, Хабр! Давно хотел написать эти строчки, но получилось это сделать в возрасте, когда бытовых и семейных проблем становится все больше, а свободного времени все меньше. Моя первая статья, поэтому прошу не судить строго. Пару слов обо мне, или, как пишут в большинстве презентаций на профильных конференциях - who am i. Работаю пентестером вот уже немало лет в одной около-государственной компании, оказывающей услуги аудита информационной безопасности организациям, функционирующим в различных сферах деятельности. В своей работе часто приходится сталкиваться c пентестом внутрянки, и обычно (в 90% случаях) это Active Directory. Вот, пожалуй, и всё, перейдем ближе к делу.

https://habr.com/ru/articles/884836/

Implementación de FreeIPA en Rocky Linux: Configuración de Servidor Principal y Réplica para Alta Disponibilidad #active_directory #freeipa #gnu_linux #iam #unix___*bsd___gnu_linux
https://red-orbita.com/

[Перевод] Targeted Timeroasting: Кража пользовательских хешей с помощью NTP

В компании Avanpost мы занимаемся разработкой собственной службы каталогов Avanpost DS. Она плотно интегрируется с Microsoft Active Directory для обеспечения долговременного сосуществования инфраструктур: поддерживает различные виды доверительных отношений, включая двусторонние, специфичные расширения Kerberos и еще много закрытых функций, имплементация которых требует глубокого понимания устройства доменных служб MS. Для их реализации нам пришлось изучить множество документации, а кое-где и прибегнуть к реверс-инжинирингу. Соответственно, сейчас мы следим за изменениями, которые вносит MS в свой продукт и, в особенности, за изменениями в области безопасности, ведь чаще всего именно они приводят к нарушению работоспособности интеграций. Наткнувшись на статью Giulio Pierantoni на Medium, мы не смогли пройти мимо и решили поделиться ей с русскоязычным сообществом.

https://habr.com/ru/companies/avanpost/articles/879636/

Свой Google в локалке. Ищем иголку в стоге сена

В статье мы разработаем свой собственный Google, который можно будет запустить в любой локальной сети как атакующим, что ищут пароли, так и защитникам, которым небезразлична безопасность их родной локалки. И что примечательно, наш Google будет состоять на 99% из готовых компонентов, практически без дополнительного программирования. А внедрение такой системы потребует ввода всего пары команд.

https://habr.com/ru/companies/ussc/articles/878340/

Kerberoasting (в т.ч. без пароля пользователя) + артефакты

Атака Kerberoasting позволяет злоумышленнику захватить сервисную УЗ путём запроса TGS с указанием имени этой сервисной УЗ и последующим брутфорсом билета. А можно ли как-то провести атаку, не имея в арсенале доступ ни к одной доменной УЗ?

https://habr.com/ru/articles/875694/

Take control. Как мы забрали управление заводом у иностранцев

Весной 2022 года наша команда столкнулась с нестандартной задачей: за две недели нужно было перенести всю ИТ-инфраструктуру крупного производственного предприятия из-под контроля иностранного менеджмента в российскую юрисдикцию. На кону стояла непрерывность работы завода: от заводских станков до систем учета и документооборота. Меня зовут Константин Ким, я эксперт по сетевым технологиям ИТ-интегратора К2Тех. В этой статье я расскажу, как мы в условиях хаоса и начинающейся паники перенесли все критически важные системы заказчика в Россию и забрали управление всем оборудованием. Вы узнаете о технических особенностях миграции Active Directory, восстановлении доступа к сетевому оборудованию Cisco и Aruba, а также о психологической поддержке построении доверительных отношений с заказчиком в кризисной ситуации. Мы готовились к разным сценариям развития событий — от идеального до наихудшего. Как все получилось на деле — читайте под катом.

https://habr.com/ru/companies/k2tech/articles/875262/

Харденинг zVirt: защищаем виртуальную среду от хакеров

Один из наших клиентов поделился деталями атаки, в результате которой злоумышленники зашифровали диски многих виртуальных машин на его платформах виртуализации. Другой наш партнер рассказал такую историю — некоторые виртуальные машины в его парке начали активно, не характерно для них, потреблять процессорные мощности. Дальнейшее расследование показало, что хакеры получили доступ к платформе виртуализации через скомпрометированный каталог Active Directory и установили на серверы майнеры. Эти истории сподвигли меня на то, чтобы разобрать проблему безопасности виртуальных сред с помощью методики ХардкорИТ. Конечно, время вспять мы не повернем, но помочь героям наших кейсов и другим компаниям избежать подобных атак в будущем — вполне. Подробности под катом! При чем же здесь виртуализация?

https://habr.com/ru/companies/pt/articles/869836/

Sortie de LDAP Tool Box Service Desk en version O.6 https://linuxfr.org/news/sortie-de-ldap-tool-box-service-desk-en-version-o-6 #active_directory #ldap_tool_box #Sécurité #openldap #ldap

Управление членством в группах Active Directory в OpenIDM

Эта статья является продолжением статьи про управление учетными записями Active Directory через OpenIDM. В этой статье мы настроем IDM таким образом, чтобы добавлять и убирать пользователей из групп Active Directory.

https://habr.com/ru/articles/863652/

To bind or not to bind: как мы управляем identity корпоративных «Маков»

Привет! Меня зовут Павел, и я руководитель офисной IT‑инфраструктуры в Яндексе. Не один год своей работы в той или иной степени я посвятил «Макам» и другим Apple‑устройствам. А в компании их сейчас уже больше 20 тысяч, и управлять таким парком — задача нетривиальная. Надеюсь, что сегодняшняя тема будет интересна системным администраторам и инженерам поддержки пользователей на платформе macOS. Поговорим об Active Directory и альтернативах этому решению, обсудим, имеет ли смысл вводить компьютеры на macOS в домен и как это всё должно работать.

https://habr.com/ru/companies/yandex/articles/854876/

Построение отказоустойчивого кластера 1С Предприятие 8.3. Требования назначения функциональности. MythBusters

Одна из завершающих публикаций цикла «В облако на работу:… Рецепты от Капитана» в ходе которых был собран полнофункциональный рабочий контур 1С в сети на отечественной Ред ОС. С веб-серверами, доменной авторизацией, архивированием и прочая прочая… На закуску разбираемся с отказоустойчивостью. В этой публикации для серверов 1С, заодно попробуем подобно сериалу «Разрушители легенд» подтвердить или опровергнуть пару устойчивых мифов о требованиях назначения функциональности.

https://habr.com/ru/companies/serverspace/articles/851598/

Кратко разбираем Zerologon на практике и смотрим его артефакты

Привет! В этой статье мы кратко рассмотрим уязвимость CVE-2020-1472 aka Zerologon со стороны красных и синих: на практическом примере научимся эксплуатировать уязвимость, используя разные векторы, а также отметим основные артефакты атаки.

https://habr.com/ru/articles/851428/

Pinniped как способ логина в Kubernetes через Active Directory

Многие пользователи Яндекс облака применяют сервис Managed Service for Kubernetes. При этом учетные записи сотрудников организаций хранятся на контроллерах домена Windows. Удобно и правильно логиниться в Kubernetes учетными записями из Windows-домена, оптимизируя ресурсы DevOps и сисадминов. Но без специального инструмента сделать это нельзя. Меня зовут Дмитрий Глушков, я системный инженер эксплуатации в Lamoda Tech. Мои поиски удобного решения задачи привели к программе Pinniped. Она поможет использовать учетные записи Windows AD для предоставления и контроля доступа сотрудников в Kubernetes. Разберемся, как ее установить и использовать.

https://habr.com/ru/companies/lamoda/articles/846000/

Getting the ntSecurityDescriptor with an LDAP query https://github.polettix.it/ETOOBUSY/2024/09/13/ldap-ntSecurityDescriptor/ #perl #ldap #active_directory

[Перевод] OpenIDM: Управление учетными записями Active Directory

В данной статье мы настроим управление учетными записями Active Directory из OpenIDM. Рассмотрим типовой сценарий, когда служба HR оформляет на работу нового сотрудника, вносит его учетные данные в систему управления учетными записями (IDM) и из этой системы данные должны импортироваться в основной каталог. Как правило, это Active Directory.

https://habr.com/ru/articles/838076/

#identity_management #OpenIDM #activedirectory #active_directory #idm‑система #idm

Устраняем уязвимости в Active Directory Windows. Часть 1

Известно, что с 2025 года нужно переходить на отечественное ПО, но я думаю, что очень большое количество организаций ещё используют Windows. Поэтому считаю, что данная статья будет актуальна. В нашей статье основным инструментом позволяющим провести проверку безопасности AD будет PingCastle.

https://habr.com/ru/companies/timeweb/articles/827662/

Ограниченное использование программ — или шифровальщик

Инфобезопасность, как известно, считается по самому слабому звену. И если вы вваливаете и вваливаете (лишние) деньги в ИБ (считая, что на безопасности нельзя экономить) - это совершенно не спасает вас от того самого слабого звена: возможность запустить любой(!) исполняемый файл в произвольном, не положенном для исполняемых файлов месте: папка "загрузки", temp, съемные носители, etc. А ведь технологии уже 25 лет - всего лишь настройка в Active directory. Отсутствие которой и привело к 99%, если не 100%, случаев заражений вирусами-шифровальщиками в мире и всем тем экономическим ущербам от них! Ну как так, представим себе: в компании с целым ИТ-отделом, работают люди, возможно даже в избыточном количестве (я, к слову, могу вдвоем обслуживать офис на 200 юзеров - именно потому что есть ИБ), получающие зарплату, вот просто так - постеснялись /поленились/не узнали что можно включить эту самую политику - и поймали шифровальщика. А технологии было 20 лет! Занавес. Итак, рассмотрим все особенности. Обязательно внести в белый список папку C:\Program Files (x86) - по умолчанию ее там нет. Внести пути для запуска приложений, размещенных у вас в локальной сети. Изменить перечень расширений - удалить LNK и добавить JS, VBS Выбрать применение политики "кроме локальных администраторов" Поставить по умолчанию тип политики "запрещено".

https://habr.com/ru/articles/833168/

#active_directory #windows #*nix

Pass The Hash? Да легко! + артефакты

Атака Pass The Hash позволяет злоумышленнику повторно использовать NT хэш для входа систему, избегая ввода пароля и используя протокол NTLM для авторизации, вместо базового Kerberos. Но как она делается и, самое главное, детектится в домене?...

https://habr.com/ru/articles/829972/

Паук в Active Directory так лапками тыдык тыдык

Коллеги, доброго времени суток! Меня зовут Роман, и я работаю в отделе анализа защищенности компании Angara Security. Типичная ситуация - легитимный пентест. Мы получаем доступ во внутреннюю сеть. У "клиента" есть Active Directory, а у нас - самая обычная доменная учетная запись. Чтобы понять, куда развивать атаку, нам нужно получить больше информации об инфраструктуре. Здесь по классике атакующий запускает bloodhound. Я еще по старой доброй памяти запускаю классические админские оснастки, чтобы взглянуть на инфру глазами своих прошлых коллег. И вроде бы мы получаем достаточно большое количество информации, которой часто хватает для компрометации конторы. Но не хватает одного интересного кусочка - динамики изменений. И стороне защиты такая информация полезннее, чем атакующим. Если взять на вооружение знания о том, как контроллеры домена реплицируют изменения между собой, то проблема решается легко, красиво и без постоянной выгрузки всех объектов домена. PowerShell нам в руки.

https://habr.com/ru/companies/angarasecurity/articles/697938/