înregistrare Logare
Puncte:1
Quinn Favo avatar Server

Controlerele de domeniu se confruntă cu o sarcină grea de rețea de la aproape toate mașinile din domeniu

drapel cn
Quinn Favo

Ne confruntăm cu conexiuni frecvente și cu lățime de bandă mare de la aproape fiecare mașină din mediul nostru, fără un model de recunoscut.

Am transferat ~110 GB către/de la controlerele noastre principale de domeniu (10.223.3.35 și 10.223.3.14) în ultimele 24 de ore prin portul 445

Am făcut recent următoarele modificări în mediul nostru: (totuși, aceste modificări au fost făcute la aproximativ 7 zile după ce au apărut pentru prima dată problemele de rețea)

Criptați sau semnați digital datele canalului securizat (întotdeauna) â Activat
Criptați digital datele canalului securizat (când este posibil) â Activat
Semnează digital datele canalului securizat (când este posibil) â Activat
Dezactivați modificările parolei contului aparatului â DEZACTIVAT
Vârsta maximă a parolei contului de computer â 30
Necesită cheie de sesiune puternică (Windows 2000 sau o versiune ulterioară) â Activată
Trimiteți o parolă necriptată pentru a vă conecta la servere SMB terțe â DEZACTIVATĂ
Permite traducerea anonimă SID/nume â DEZACTIVAT
Nu permiteți enumerarea anonimă a conturilor SAM â Activată
Nu permiteți enumerarea anonimă a conturilor și a partajărilor SAM â Activată
Restricționați accesul anonim la Named Pipes and Shares â Activat
Permite sesiune de rezervă LocalSystem NULL â Dezactivat
Nu stocați valoarea hash LAN Manager la următoarea modificare a parolei â Activat
Nivel de autentificare LAN Manager - Trimiteți numai răspunsul NTLMv2\refuz LM și NTLM
Cerințe de semnare a clientului LDAP - Negociați semnarea Securitate minimă a sesiunii pentru clienții bazați pe NTLM SSP (inclusiv RPC securizat) - Necesită securitatea sesiunii NTLMv2, necesită criptare pe 128 de biți
Securitate minimă a sesiunii pentru serverele bazate pe NTLM SSP (inclusiv RPC securizat) - necesită securitatea sesiunii NTLMv2, necesită criptare pe 128 de biți

Snort revine frecvent cu acest tip de jurnal: 07/01-20:01:41.953634 [] [1:3276:2] NETBIOS DCERPC IActivare tentativă de legare little endian [] [Clasificare: Decodificarea comenzii protocolului generic] [Prioritate: 3] {TCP} redactedIP:55424 -> 10.223.3.35:135

Vizualizatorul de evenimente pare să înregistreze un număr obscen de evenimente de securitate, dar niciunul nu pare să iasă în evidență.Utilizarea discului în monitorul de resurse poate fi în jur de 100 MB/s, iar rețeaua încarcă uneori 150 Mbps sau mai mult, fără un motiv aparent întemeiat. Nu există un transfer major de date identificabil, intenționat, de la oricare dintre mașinile problematice.

Orice perspectivă pe care o poate oferi oricine este foarte apreciată!

556
1 + 6
joeqwerty avatar
drapel cv
joeqwerty
Rulați o captură de pachete pe controlerele de domeniu și analizați captura.
0
Răspunde
Quinn Favo avatar
drapel cn
Quinn Favo
@joeqwerty Știam că am uitat să adaug ceva. O captură de pachete din trecut pe care am făcut-o arată câteva lucruri interesante: TCP Dup Ack Retransmisie rapidă TCP TCP necorespunzător Mesaje de continuare NBSS (par a fi legate de NetBios, dar trebuie să caut pe Google)
0
Răspunde
Massimo avatar
drapel ng
Massimo
@joeqwerty Pe baza portului TCP și a I/O pe disc grele asociat, acesta este cu siguranță trafic SMB; investigarea a ceea ce se face de fapt prin SMB ar trebui să fie mult mai utilă decât o captură de rețea.
0
Răspunde
joeqwerty avatar
drapel cv
joeqwerty
@Massimo o captură ar spune OP cu ce este legat traficul SMB. Ce se accesează prin SMB? O captură ar arăta asta.
0
Răspunde
drapel cn
Greg Askew
Există și alte protocoale care pot folosi 445 (SAMR este unul). De asemenea, puteți dezactiva Netbios - nu ar trebui să fie necesar.
0
Răspunde
drapel cn
Greg Askew
De asemenea, dacă ați schimbat lmcompatibilitylevel la `Trimite numai răspuns NTLMv2\refuz LM și NTLM` fără a audita NTLM sau a-l introduce treptat, ar putea fi o problemă. Poate doriți să schimbați asta pentru a permite NTLM să vadă efectul.
0
Răspunde
Puncte:3
Massimo avatar Server
drapel ng
Massimo

TCP 445 este SMB, adică partajarea fișierelor Windows.

Ar trebui să monitorizați activitatea IMM-urilor pe DC-urile dvs.; puteți face acest lucru grafic din MMC Management Computer sau prin PowerShell folosind diverse Get-SmbXYX comenzi în SmbShare.

Acest ar putea să fie un virus care se răspândește prin partajări de rețea; totuși, aceasta este doar o presupunere aleatorie și ar putea fi cu adevărat orice altceva.

0 + 4
Quinn Favo avatar
drapel cn
Quinn Favo
Multumesc pentru raspuns, tocmai l-am verificat acum. Nu sunt sigur ce este considerat normal, dar văd sute de conexiuni, unele dintre ele având peste 100 de fișiere deschise. Unele au fost conectate de 18 zile.
0
Răspunde
Massimo avatar
drapel ng
Massimo
Controlerele de domeniu găzduiesc partajarea SYSVOL, unde sunt stocate politicile de grup; cu siguranță este normal ca computerele de domeniu să se conecteze la el. Cu toate acestea, transferurile grele de fișiere precum cele care par să aibă loc aici sunt cu siguranță *nu* normale.
0
Răspunde
Massimo avatar
drapel ng
Massimo
Va trebui să investighezi mai profund și să verifici *ce* este de fapt citit sau scris și *unde*.
0
Răspunde
SamErde avatar
drapel gg
SamErde
Aveți o politică de instalare a software-ului care implementează un pachet către clienți, scripturi de conectare/pornire sau preferințe GP de implementare a fișierelor?
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.