我的域控是不是被攻击了?吓!
https://mp.weixin.qq.com/s/HU7Kpb9gTFkeCZWo-D5UsQ
大家好,我是一只鱼,一只朴实无华且枯燥的做IT运维鱼,我会在这里分享平时工作上的一些朴实无华且枯燥的那点事儿~
话说某天本鱼正在快快乐乐的摸鱼划水勤劳搬砖的时候感觉有人在盯着我看,一抬头就看到了美丽的前台小姐姐晓彤站在我旁边,于是我心想莫非是小姐姐看上我要跟我表白了?
小姐姐说:我,账号锁了。你,解锁!
我:......(是心碎的声音
)
在我乖乖的帮小姐姐解锁完AD账号继续摸鱼搬砖的时候陆陆续续又有几个同事来找我解锁账号,我心里开始嘀咕(今天大家早饭吃啥了,组团忘记密码?
)。但账号被锁定的情况越来越多,有集中爆发的趋势,我意识到事情应该没那么简单。
莫非?难道?或许?我的域控被爆破了?吓!
我赶紧到域控上去看,一看不要紧,好家伙,那叫一个惨不忍赌,账号差不多被锁了一遍了,打开事件查看器一条一条查看发现这些账号基本上都是同一时间段被锁的,其中还有域管理员账号和服务账号!我的天呐!一身冷汗!域管理员账号要是被破掉了后果不堪设想,不过还好由于我们AD设置了较强的密码复杂度策略想暴力破解密码还是没那么容易的,还好....还好...不对!!
服务账号!服务账号被锁了!果然一些服务已经受到了影响无法正常工作了,为了保证服务的正常运行为存放服务账号的OU新加了一条GPO临时放开了账号的锁定策略,暂时是不会影响服务的运行了。
正当我焦头烂额的时候对方不知为何好像停止了攻击。害!终于松了一口气。
但还是不清楚对方下次什么时候再来,来了之后又怎么办,要是让我知道是谁本鱼我分分钟顺着网线爬过去让他知道花儿为什么这样红。
晚上下班后和同是做IT的死党一起在艾泽拉斯大陆遨游的时候顺便把这件事讲给他听问他有没有什么意见,他说有一款叫ADAudit Plus工具可以帮助到我。看到这里有些聪明的小伙伴可能已经发现了,没错这就是一篇软文。
死党说ADAudit Plus是一个专门针对AD域的审计工具,除了可以审计AD的登录活动还可以审计文件服务器的访问情况,用户、GPO、安全组等AD对象的修改情况等100+开箱即用的审计报表。
比如说账号锁定分析功能可以直观的看到账号被锁定的情况以及分析账号锁定的原因。
并且还有告警功能他说,就拿我这次的经历来说,如果当时我有这个工具在就可以在攻击一开始的时候就侦测到并收到告警信息。
而且在告警详细信息里还可看到对方的IP地址和客户端,这样方便对攻击来源进行分析定位。还可以BAN掉这个IP来阻止他进一步的动作。然后我就可以顺着网线去教他做人了报警抓人了。
通过文件审核报表可以看到对方访问或修改了哪些文件。
死党还说这个产品目前有新用户有30天的试用期建议我去试试看。听他这么一介绍我瞬间对艾泽拉斯大陆失去了兴趣,想马上就去体验一下这个产品。第二天一早到公司下载了试用版部署完成后立刻自信心爆棚,再也不怕刁民谋害朕的AD域了。
唉,又是朴实无华且枯燥的一天~
鱼说:看完记得关注、点赞、转发三连哦~
1072
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
