Задать вопрос
  • Как настроить RDP Windows session shadowing?

    @Tarakanator
    Dima_E,
    1)нужные tcp порты 139,445,49152-65535
    2)у меня такая-же ошибка. Но один пользователь подключается, а другой нет. Оба в локальных админах.
  • Как узнать дату последнего использования учётной записи в AD?

    @Tarakanator Автор вопроса
    MaxKozlov,
    Совпадений нет. Есть только ещё 5145, но это тоже на файловом сервере
    Не нашёл где обещают что должно быть.
    Я посмотрел через wireshark от клиента идёт обрашение к DC и kerberos отправляет tgs-rep.
    Локального юзера нет.
    лог
    _id
    CLijMYcBBzwddOmpWJsU
    _index
    .ds-logs-system.security-default-2023.03.29-000554
    _score
    0
    @timestamp
    Mar 30, 2023 @ 11:29:59.367
    agent.ephemeral_id
    d88d1ad0-7e54-4a38-839e-8523a7d081ea
    agent.hostname
    file-server-name
    agent.id
    ed45591e-1c1f-4ea7-85e4-f499031b683c
    agent.name
    file-server-name
    agent.type
    filebeat
    agent.version
    7.17.1
    data_stream.dataset
    system.security
    data_stream.namespace
    default
    data_stream.type
    logs
    ecs.version
    1.12.0
    elastic_agent.id
    ed45591e-1c1f-4ea7-85e4-f499031b683c
    elastic_agent.snapshot
    false
    elastic_agent.version
    7.17.1
    event.action
    Общий файловый ресурс
    event.agent_id_status
    verified
    event.code
    5140
    event.created
    Mar 30, 2023 @ 11:30:00.254
    event.dataset
    system.security
    event.ingested
    Mar 30, 2023 @ 11:30:01.000
    event.kind
    event
    event.module
    system
    event.outcome
    success
    event.provider
    Microsoft-Windows-Security-Auditing
    host.architecture
    x86_64
    host.hostname
    file-server-name
    host.id
    7f6356a0-8228-404a-af5e-9bcaeca2ca94
    host.ip
    file.server.ip
    host.mac
    00:15:5d:16:2d:05
    host.name
    file-server-name.domain.name
    host.os.build
    9600.19968
    host.os.family
    windows
    host.os.kernel
    6.3.9600.20564 (winblue_ltsb_escrow.220809-0737)
    host.os.name
    Windows Server 2012 R2 Standard
    host.os.platform
    windows
    host.os.type
    windows
    host.os.version
    6.3
    input.type
    winlog
    log.level
    сведения
    message

    Получен доступ к объекту сетевой папки.

    Субъект:
    Код безопасности: S-1-5-21-1433428062-1903647318-3045599452-88471
    Имя учетной записи: test-user
    Домен учетной записи: domain
    Код входа в систему: 0x3995D6209

    Сведения о сети:
    Тип объекта: File
    Адрес источника: 172.17.60.62
    Порт источника: 1111

    Сведения об общем ресурсе:
    Имя общего ресурса: \\*\IPC$
    Путь к общему ресурсу:

    Сведения о запросе доступа:
    Маска доступа: 0x1
    Доступы: Чтение данных (или перечисление каталогов)

    winlog.api
    wineventlog
    winlog.channel
    Security
    winlog.computer_name
    file-server-name.domain.name
    winlog.event_data.AccessList
    %%4416

    winlog.event_data.AccessListDescription
    ReadData (or ListDirectory)
    winlog.event_data.AccessMask
    0x1
    winlog.event_data.AccessMaskDescription
    Create Child
    winlog.event_data.IpAddress
    172.17.60.62
    winlog.event_data.IpPort
    1111
    winlog.event_data.ObjectType
    File
    winlog.event_data.ShareName
    \\*\IPC$
    winlog.event_data.SubjectDomainName
    domainname
    winlog.event_data.SubjectLogonId
    0x3995d6209
    winlog.event_data.SubjectUserName
    test-user
    winlog.event_data.SubjectUserSid
    S-1-5-21-1433428062-1903647318-3045599452-88471
    winlog.event_id
    5140
    winlog.keywords
    Аудит успеха
    winlog.logon.id
    0x3995d6209
    winlog.opcode
    Сведения
    winlog.process.pid
    4
    winlog.process.thread.id
    11,216
    winlog.provider_guid
    {54849625-5478-4994-A5BA-3E3B0328C30D}
    winlog.provider_name
    Microsoft-Windows-Security-Auditing
    winlog.record_id
    23818715872
    winlog.task
    Общий файловый ресурс
    winlog.version
    1
  • Как узнать дату последнего использования учётной записи в AD?

    @Tarakanator Автор вопроса
    MaxKozlov,
    Всех событий будет многовато.
    UPD.
    проверил, ntlm и v1 и v2 на нужном DC(на всех не проверял) логируются(по крайней мере 4624)
    Пошёл организовывать тестирование максимально близкое к сценарию использования сканера.
    UPD2 Если ломануться с недоменного компа на файловую шару 4624 не возникает. То что я увидел при первом тесте вероятно было какой-то не связанной с тестом активностью.
    На домен контроллере соответствующих записей в логе не вижу, на файловой шаре есть 5140
  • Как узнать дату последнего использования учётной записи в AD?

    @Tarakanator Автор вопроса
    MaxKozlov, я ищу события не по event id, а по тексту "Scans-Regist"
    ломануться на ту ширу под той уз попробую уже завтра.
  • Как узнать дату последнего использования учётной записи в AD?

    @Tarakanator Автор вопроса
    MaxKozlov, примерно 5-10% пользователей с нулевым lastlogon
    Пользователи разные, но среди них много технических учёток. возможно что-то с security и есть одинаковое у них. Только вот куда смотреть?
    UPD зашёл в винду под данной уз, то lastlogon обновился, 4624 событие появилось.
    вероятно проблема вызвана способом использования уз, а не security.
  • Как узнать дату последнего использования учётной записи в AD?

    @Tarakanator Автор вопроса
    Роман Безруков, не понял, как он может ходить через тот-же КД и не обновлять lastlogon?
    4624 для данной уз почему-то не вижу. для других, в том числе на том КД вижу.
    а LastLogondate и lastLogonTimestamp всегда совпадают

    Я в курсе, но учитывая чертовщину решил проверить.
  • Как узнать дату последнего использования учётной записи в AD?

    @Tarakanator Автор вопроса
    MaxKozlov, 4624 не нашёл. Не понимаю почему.
    для других уз 4624 есть в том числе на нужном DC.
    DC получаю с помощью $adcontrollers=Get-ADDomainController -Filter *
    вроде как ошибиться негде.
    RODC нету
    что там ещё может быть не представляю, вроде всё стандартно.
  • Как узнать дату последнего использования учётной записи в AD?

    @Tarakanator Автор вопроса
    MaxKozlov, Я знаю что другой, я к тому, что численно совпадает.
  • Как узнать дату последнего использования учётной записи в AD?

    @Tarakanator Автор вопроса
    Фиг знает почему оно может быть неизвестно, но это может быть ваш случай :)

    ну это конечно объясняет странные результаты, но
    1)не помогает в решении проблемы.
    2)с наибольшей вероятностью УЗ используется там, где lastlogon в 2018 году, а не 0. КРАЙНЕ сомнительно что на том DC с 2018 года она ни разу не использовалась.
  • Как узнать дату последнего использования учётной записи в AD?

    @Tarakanator Автор вопроса
    Вам нужен LastLogon

    Я привёл пример кода, где используется lastlogon. Он не работает. показывает последнее использование в 2018 году, хотя уз использовалась час назад.
  • Как узнать дату последнего использования учётной записи в AD?

    @Tarakanator Автор вопроса
    Alexey Dmitriev, Я читал про нюансы, но я так и не понял каким образом ВСЕ LastLogon могут быть меньше, чем lastLogonTimestamp, если контроллеры домена не отключались.
    И так и не понял каким образом событие логина может не попадать в статистику.
    Вся разница, что я нашёл это формат данных и репликация. Но т.к. оно не совпало с реальными данными я решил потыкаться. Не получилось. Ещё погуглил, не нашёл информации. Написал сюда.
  • Посоветуете ipsec IKEv2 клиент для windows?

    @Tarakanator Автор вопроса
    CityCat4,
    мне себе трудно представить один комп, за которым может работать два человека и котрый сам устанавливает VPN. Если это подразделение конторы - перед ним обычно роутер.

    Это рабочий комп, с которого я хожу к себе домой. В т.ч. по рабочим нуждам например потыкать сервисы из вне, или проверить работает ли какой-то сайт (может на работе его глючит из-за https инспекции).
  • Посоветуете ipsec IKEv2 клиент для windows?

    @Tarakanator Автор вопроса
    korsar182,
    откуда лог? с винды или микротика?
    настройки с микротика аккуратно не выглузить по 1 соединению, настройки работающего клиента вас устроят?61b9d17fdfa2d147041655.png61b9d1877028a987106461.png

    Сейчас ещё заметил
    -IntegrityCheckMethod SHA256
    это для какой фазы?
  • Посоветуете ipsec IKEv2 клиент для windows?

    @Tarakanator Автор вопроса
    korsar182,
    Почему -PfsGroup PFSMM ??
    поставил -PfsGroup ecp384
    в доках значение поддерживается https://docs.microsoft.com/ru-ru/graph/api/resourc...
    При попытке подключения получаю:
    срок действия контекста истек, и его использование не допускается.

    при этом срок действия сертификата ещё 9 лет.
  • Посоветуете ipsec IKEv2 клиент для windows?

    @Tarakanator Автор вопроса
    Александр Карабанов, Там тоже DH2. У автора пока не спрашивал.
  • Посоветуете ipsec IKEv2 клиент для windows?

    @Tarakanator Автор вопроса
    Там в инструкции DH2. А я как раз хочу от него отказаться, отсюда и вопрос.
  • Посоветуете ipsec IKEv2 клиент для windows?

    @Tarakanator Автор вопроса
    CityCat4,
    win 10 pro 2004
    Клиент вроде бесплатный, но лично я качал с купленной железки фортигейта. Так что ищите сами в интернете.
    Известны действующие сценарии атак, где существенную роль играло бы использование dh2, а не dh14, например? Что Вам так уперлась эта эллиптика?

    я гуглил где-то год назад. для dh2 есть. для dh5 нет, но я так понимаю циска перестраховывается и её тоже не рекомендует.
    Элиптика не упёрлась... но если есть возможность, то почемубы и нет?
    А если сценарии атак неизвестны - хотя бы даже в теории, то Вы простите, занимаетесь никчемной ерундой, дажен если у Вас там биткойны ходят.

    А в качестве самообразования я захотел сделать безопасный VPN.

    Может мне стоило выразится как по возможности максимально безопасный?
    В этом главная трудность, потому что требования к нему хрен найдешь, а они есть и довольно запутанные.

    ну у меня проблем небыло.
    Винде поуху, что там за сертификат

    в этом и проблема. Если за компом работают 2 человека, то оба получают доступ к VPN по сертификату. Сделать доступ только для одного нельзя.
    государство - никто никакой dh ломать не будет :) Ломать будут Вас.

    меня не столько беспокоит возможность взлома, сколько беспокоит возможность взлома о котором я не узнаю.
    Хм. Заставить юзера выполнить еще и PS команду после того, как он совершил титанический труд по настройке соединения - это уж слишком :)

    к счастью в моём случае юзеры делятся на 2 категории:
    1)не сможет настроить даже обычный ipsec. а значит всё равно на его комп мне лезть.
    2)сможет и PS команду выполнить.
  • Посоветуете ipsec IKEv2 клиент для windows?

    @Tarakanator Автор вопроса
    korsar182, сейчас как раз DH20 использую
    DH32 не поддерживают мои роутеры. Менять роутеры при том, что DH21 вроде как вполне достаточно смысла не вижу.

    Опенсорс предпочитаю не по причине маловероятности ошибок, а по причине маловероятности бэкдоров.
    в случае с windows ipsec клиентом бэкдор не страшен... а ошибки конечно страшны, но тут защиты нет.
  • Посоветуете ipsec IKEv2 клиент для windows?

    @Tarakanator Автор вопроса
    korsar182,
    Потому, что cisco в документации не рекомендует использовать менее чем dh14
    dh21 да, за большими цифрами. Когда я гуглил про криптоалгоритмы я пришёл к выводу, что все алгоритмы кроме шифроблокнота не обладают математически доказанной стойкостью. Значит любой алгоритм может оказаться менее безопасным чем это кажется. При чём вероятно стойкость не обнулится, а уменьшится на N порядков. Поэтому при возможости надо брать с запасом.
    С виндовым клиентом следующая ситуация. Если мы не доверяем майкрософту, то какой толк в безопасном IPSEC клиенте? если всё могут спереть на конечном устройстве.
    И я не просил клиент, использующийся в энтерпрайзе.