HVV发现域组策略配置错误并加固-AD域账户锁定策略

于 2024-05-05 13:55:00 发布
阅读量277 收藏 1
点赞数 3
文章标签: 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/normanhere/article/details/138465406
版权

AD域的账户锁定策略属于计算机策略,所以仅限加了域的计算机,域用户登录才会生效,而如果exchange和网站来调用AD域要实现账户锁定的话,需要使用针对账户的密码安全策略。具体配置如下:
https://blog.csdn.net/weixin_45694548/article/details/131906068
今天的HVV中发现供应链邮箱账户密码爆破攻击,虽然用户在AD域配置了账号锁定策略,但却是仅限于域内计算机,而不是针对账户的,所以这个锁定策略是无效的(通过对邮箱账号的测试以及组策略建模发现原先的用户账号锁定策略是无效的)。
通过监视 AD Audit 试用版软件,检测到被爆破的账户和途径(exchange邮箱爆破);
在这里插入图片描述
在这里插入图片描述
处置策略:
1、查找百度重新设置用户账号锁定策略;
2、让对应用户迅速修改邮箱账号密码
3、建议使用科来全流量追溯系统捕获到该攻击IP实现追溯
因为我们是分支单位,我并没有去做流量捕获,仅仅做了防火墙日志转存。后期观察是否会做针对其他账号的爆破,如果有的话需要封堵对应IP
并且由于是通过加密邮件协议爆破导致APT没有产生相应的告警

&((objectclass=user)(lockouttime>=1)) LDAP 在域中查找被锁定账户语句 可以看到被爆破用户已经被锁定
下图为策略具体配置方式
在这里插入图片描述
在这里插入图片描述

normanhere
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【安全科普】AD安全管理(一)
ZAWX_NETSTARSEC的博客
08-31 941
活动目录(AD)凭借其独特管理优势,从众多企业管理服务中脱颖而出,成为内网管理中的佼佼者。采用活动目录来管理的内网,称为AD。 了解AD,有助于企业员工更好地与其它部门协作,同时提高安全意识。中安网星由此推出AD安全科普系列,为大家讲解AD的安全管理。 AD将企业内网中的所有资源对象集中到域控上,存储在AD数据库中,采用DNS规则命名,方便管理的同时提高安全性。 这一篇文章中,我们先给大家介绍下AD服务的应用环境——,在了解清楚的形成和结构之后,才能对AD服务的功能有更深入的
【安全科普】AD安全协议(二)NTLM
ZAWX_NETSTARSEC的博客
09-27 1490
在Kerberos出现之前,NTLM被广泛应用于工作组和环境,是更早的用于对用户进行身份验证的协议。相比于Kerberos,NTLM的认证原理比较简单,主要通过对比客户端和服务端加密后的数据,判断其是否一致,以确定用户身份。如果用做菜来比喻,那么被加密的数据就是“原材料”,加密密钥就是“秘方”,原理就是“用不同的秘方做出...
安全评估以及加固方案
Shanfenglan's blog
01-20 1万+
文章目录1.前言2. 评估结果分析与加固方案1. 用户帐户问题2. 密码策略3. Tombstone lifetime和AD backup参考文章 1.前言 在内任何一台机器上通过powershell脚本对中对一些基本问题进行检测,检测的目标点如下: 用户帐户问题 密码策略 Tombstone lifetime和AD备份 信任问题 重复的SPN 组策略首选项密码 管或特权用户 KRBTGT帐户-需要定期重制密码 Kerberos委派-配置错误可导致windows委派攻击 组策略对象所有者-配置
Windows AD 组策略 安全加固
最新发布
一直被模仿,从未被超越
09-22 384
(3)Reset account lockout after (表示失败登录尝试计数器重置为0次错误登录尝试之前,失败登录尝试后必须经过的分钟数,默认为30)(1)Account lockout duration (表示被锁定的帐户在自动解锁前保持锁定的分钟数,默认为30)(4)Minimum password length(密码最短长度)(3)Minimum password age(密码最短使用期限)(2)aximum password age(密码最长使用期限)
AD域控如何做帐号锁定策略AD域控利用AD管理中心工具如何做帐号锁定AD域控如何做帐号输错几次之后帐号被锁定呢?
封枫丰
07-24 1754
1,AD域控如何做帐号锁定策略? 2,AD域控利用AD管理中心工具如何做帐号锁定? 3.AD域控如何做帐号输错几次之后帐号被锁定呢?
Windows安全加固-AD建立与加入
Brucye
01-15 2282
AD建立与加入 实验环境说明 域控从机: Windows 2003 域控主机: Windows 2008 IP设置 设置同一网段-保证连通性 将NDS指向Windos2008 第一步,域控服务器需要将服务器设为静态 IP地址 1.将Windows2008服务器IP地址修改为192.168.1.10,子网掩码255.255.255.0,DNS地址127.0.0.1 2.将Windows 2003服务器IP地址修改为192.168.1.11,子网掩码255.255.255.0,DNS地址192.168.1.1
ad锁定账户_【原创】解决AD账户被莫名其妙的锁定问题
weixin_39976499的博客
12-31 1876
环境:Windows Server 2012 R2问题:最近总是有AD账号被锁定,为了查清问题所在,需要查看AD用户登录认证记录教程:第一步:开启AD的“用户登录时间”审核策略1.打开管理工具中的“组策略管理”。2.如下图,圈住的部分,右键点击“编辑”,打开组策略编辑。3.如下图,打开“组策略编辑”的“审核策略”。4.打开“审核登录事件”,勾选“成功”和“失败”选项,确定5.再执行策略更新:gp...
账户加固_01
pitch_dark的博客
10-18 668
安全加固的认识_01
如何对AD和Exchange进行安全加固满足护网需要?
weixin_42556618的博客
08-11 1802
自2017年WannaCry病毒席卷全球之后,持续演变,挖矿及勒索病毒数量两年暴涨1500%,现已成为网络安全的最大威胁,而勒索金额也从以往的以万为单位飙升到百万美元级别。 AD由于存在着大量的特权账号、应用服务账号、用户账号,是入侵攻击最多的对象之一。 Exchange邮件系统作为日常办公所需,存放有大量办公及业务邮件数据,容易被攻击并泄露邮件数据,或者受钓鱼邮件影响导致信息安全事件,是被入侵攻击勒索最多的对象之一。 在国家级的护网行动(红蓝攻防演练)中,AD如果被攻击成功,是扣分最多的一项内容
域控密码策略修改无效
putongren008的博客
03-31 795
一个服务器升级成域控机后,主策略的密码都 改成很低级了, 但是, 用户还是不能修改简单密码为什么?
windows环境AD配置
08-07
windows环境的配置,帮助您搭建windows环境。
计算机用户锁定策略不起作用,帐户锁定策略
weixin_26833503的博客
07-02 1468
帐户锁定策略10/26/2015本文内容适用对象:Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8本主题面向 IT 专业人员介绍了帐户锁定策略设置并链接到有关每个策略设置的...
用户账号锁定问题的解决方法(收藏)
cuiqi1238的博客
05-14 4796
问题描述帐号里的account is locked out属性被勾上, 管理员将这个勾去掉后,5分钟左右,又被自动勾上,锁定后,用户没办法登陆.已确定该用户正常使用, 错误密码次数没有超进设定值!在symantec的杀毒日志中...
AD环境下组策略不生效排查.
热门推荐
zhuzhuxiazst的专栏
05-06 1万+
云桌面环境,设定了组策略,强制用户强密码,设定密码过期以及锁定账户策略后,发现实际终端策略没有生效。以下为排查思路: 1 在终端上执行 gpupdate /force,强制更新组策略。 2 在终端商执行gpresult /z 或者gpresult /v 查看终端应用的组策略情况。 3 如果步骤2看不到创建的组策略在终端中应用,则排查域控服务器的问题。 4 组策略里,的根目录下,有一个D...
AD用户频繁锁定处理实例-分享
flybird77的专栏
07-07 5828
最近,公司内部分用户反映自己账号被锁定,刚开始,未留意,因为账号锁定的问题比较常见,本以为是认为的密码设置错误所致,解锁后不再关注。今天早上到单位,发现网内大部分用户账号都锁定了,有的用户账号居然刚刚解锁后又锁定。针对此想象,仔细分析,一般偶尔有用户反映帐号被锁属于正常,但是
账号锁定故障排除基本流程
李荣权的专栏--OS--Soft--Life
12-26 7119
账号锁定故障排除基本流程现象:某账号只要该人的主机接入网络就会导致其账户锁定,频率在四五分钟左右.表现为输入账号登录即使输入正确的密码也提示错误,账户锁定发现密码输入错误次数为0  一,下载ALTOOLS     二,运行lockoutstatus,查看时哪台域控锁住了该账号     三,运行用eventcombmt收集账号锁定日志     方法:          1,菜单中选择Searches-->Built In Searches -->Account Lockouts      
Windows server 2008 R2 服务器系统安全防御加固方法
zoneidccom的博客
06-01 497
Windows server 2008 R2 服务器系统安全防御加固方法【199cloud-艾娜】 这篇文章主要介绍了Windows server 2008 R2 服务器系统安全防御加固方法,需要的朋友可以参考下 一.更改终端默认端口号 步骤: 1.运行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp],看见PortNamber值了吗?其默认值是3389,修改成
安全优化与加固白皮书
ultradream2018的博客
05-10 371
在勒索病毒常态化的形势下,环境如不加固域控被拿下导致病毒在全网快速传播已是非常可能的事件。为共同提高环境安全意识,保护大家的环境,泰勋科技基于核心团队10多年的技术积累,并结合微软官方最佳实践,在照顾用户体验的情况下又不牺牲关键安全,形成了一份接中国地气,可行性高的通用指南,希望为环境的安全出一份自己的力。全国首份系统的、全面的、公开的《安全优化与加固白皮书v2023》发布了!另外本白皮书也同样适用于红蓝对抗场景下,域控作为高价值目标的安全加固。3.6 域控制器应尽量使用最新操作系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值