. NTLM - . — Active Directory. company.ru, «» DNS-. , - , , - . — NTLM (, ?), «» , . , . — , . — . — , , . — pass-the-hash-. ADFS .Es gibt eine schlechte Funktion von Microsoft-Produkten: Selbst wenn Sie ein solches NTLM nicht speziell veröffentlicht haben, wird es zumindest in der Standardinstallation in OWA und Lync installiert.Übrigens hat der Autor dieses Artikels einmal auf die gleiche Weise versehentlich in nur einer Stunde ungefähr 1000 Konten von Mitarbeitern einer großen Bank gesperrt und hatte dann ein etwas blasses Aussehen. Die IT-Services der Bank waren ebenfalls blass, aber alles endete gut und angemessen. Wir wurden sogar gelobt, dass wir die ersten waren, die dieses Problem fanden, und provozierten eine schnelle und entscheidende Korrektur.
Interessanterweise versuchte der Server immer noch, sich vor MS17-010 zu schützen - er hatte anfällige Netzwerkdienste auf der externen Schnittstelle deaktiviert. Dies schützt wirklich vor Angriffen über das Netzwerk, aber der Angriff innerhalb des lokalen Hosts hat funktioniert, da Sie SMB auf localhost nicht einfach ausschalten und schnell deaktivieren können.
Dann haben sich die VDI-Administratoren zweimal in den Fuß geschossen:Das erste Mal, dass VDI-Computer von LAPS nicht in Betrieb genommen wurden, wurde im Wesentlichen dasselbe lokale Administratorkennwort aus einem Image gespeichert, das massiv für VDI bereitgestellt wurde.— , pass-the-hash . , , — .