NETLOGON и SYSVOL, это не просто папки на диске, а несущая конструкция домена Active Directory. Их работа настолько отлажена, что становится невидимой, пока что-то не ломается. Но именно в их взаимодействии скрываются тонкости, которые определяют безопасность и управляемость всей сети. https://seberd.ru/2065 NETLOGON и SYSVOL, это два взаимосвязанных механизма, которые обеспечивают базовые функции домена: безопасный вход … Читать далее
«Повышение прав через службы Windows — классический приём, но путь через перезапись исполняемого файла часто остаётся в тени. Всё внимание уходит на проверку прав в реестре или на использование уязвимых библиотек, в то время как открытая на запись папка со службой может дать мгновенный доступ от имени SYSTEM.» Как работает вектор атаки через замену исполняемого … Читать далее
«Повышение привилегий, это не просто взлом администратора. Это многослойная система эксплойтов, использующая ошибки проектирования операционных систем, доверие между компонентами и слепые пятна в политиках безопасности для подмены самой логики контроля доступа.» Механизмы обхода контроля доступа Злоупотребление UAC и API для повышения прав Контроль учётных записей пользователей (UAC) в Windows должен запрашивать подтверждение на запуск процессов … Читать далее
«Эта статья не про сложные взломы или трояны. Речь о том, как невероятно простое действие — украсть не пароль, а его отпечаток — может полностью перевернуть безопасность огромной сети. Всё упирается в один системный файл и протокол, который до сих пор нельзя просто выключить». Хранение паролей в Windows: SAM и хеши Windows никогда не хранит … Читать далее
«Мы спорим о сложных протоколах и системах обнаружения, а злоумышленнику иногда нужен всего один кусок данных, который у нас уже есть. Pass-the-Hash, это атака, которая работает не потому, что мы что-то сломали, а потому, что мы слепо доверяем фрагменту информации там, где должны доверять только секрету». 1. Хранение паролей: не секрет, а его отпечаток В … Читать далее
«Понимать Mimikatz, это не вопрос выбора для защитника, а профессиональная необходимость. Это как изучать устройство отмычки, чтобы сделать замок надежнее. В реалиях российского ИТ, где требования 152-ФЗ и ФСТЭК диктуют необходимость защиты персональных данных, знание этого инструмента помогает не столько атаковать, сколько строить оборону, которая не сломается при первом же контакте с реальной угрозой.» На … Читать далее
«Защита Windows, это не только установка обновлений и настройка брандмауэра. Это прежде всего непрерывный контроль и прогнозирование угроз. Всё, что можно автоматизировать, должно работать без твоего участия, а твоя задача — анализировать исключения и реагировать на них. PowerShell, это ключ к такой автоматизации, превращающий рутинные проверки в цифрового охранника.» Что такое PowerShell в контексте безопасности … Читать далее
«Шифрование полного диска, это уже не дополнительная опция, а обязательная базовая гигиена. Если ваш ноутбук или сервер не зашифрован, вы, по сути, держите данные в стеклянном сейфе. Развёртывание BitLocker вручную на сотнях машин — тупиковый путь, ведущий к человеческим ошибкам. Реальная защита начинается там, где управление ключами восстановления выведено из-под контроля рядового пользователя и встроено … Читать далее
«Главная опасность в Active Directory не в сложных уязвимостях ядра, а в простом накоплении прав доступа, которое десятилетиями оставалось невидимым. BloodHound делает эти скрытые, но легитимные пути власти доступными для анализа, превращая теоретическую эскалацию в наглядную карту.» BloodHound — Анализ зависимостей в Active Directory Active Directory (AD), это фундаментальная служба каталогов Microsoft, на которой построено … Читать далее
Атака Kerberoasting использует стандартный механизм запроса сервисных билетов в Active Directory. Злоумышленник, действуя под учетной записью обычного пользователя домена, запрашивает сервисный билет (TGS) для учетной записи с SPN и впоследствии может провести подбор пароля в офлайн-режиме. Защита требует выключения устаревших алгоритмов шифрования, внедрения управляемых сервисных учетных записей (GMSA) и непрерывного мониторинга событий 4769 в логах … Читать далее