. NTLM - . — Active Directory. company.ru, «» DNS-. , - , , - . — NTLM (, ?), «» , . , . — , . — . — , , . — pass-the-hash-. ADFS .Il y a une mauvaise caractéristique des produits Microsoft: même si vous n'avez pas spécifiquement publié un tel NTLM, il sera au moins dans l'installation par défaut dans OWA et Lync.Soit dit en passant, l'auteur de cet article a bloqué une fois de la même manière accidentellement environ 1 000 comptes d'employés d'une grande banque en une heure seulement, puis a eu un aspect un peu pâle. Les services informatiques de la banque étaient également pâles, mais tout s'est bien terminé et nous avons même été félicités d'avoir été les premiers à trouver ce problème et provoqué une correction rapide et décisive.
Fait intéressant, le serveur essayait toujours de se protéger contre MS17-010 - il avait désactivé les services réseau vulnérables sur l'interface externe. Cela protège vraiment contre les attaques via le réseau, mais l'attaque de l'intérieur de l'hôte local a fonctionné, car vous ne pouvez pas simplement prendre et désactiver rapidement SMB sur localhost.
Ensuite, les administrateurs VDI se sont tiré une balle dans le pied deux fois:La première fois que les machines VDI n'ont pas été mises en action par LAPS, il a essentiellement enregistré le même mot de passe administrateur local à partir d'une image qui a été massivement déployée sur VDI.— , pass-the-hash . , , — .