September 9th, 2016

heineken
  • vovney

Пятницо, значит аудита псто

А где бы почитать умных статей и гайдов на тему расово верного аудита windows инфраструктуры?

Чтобы вот не талмуды PCI DSS, но и не идиотизм от "великой четвёрки" а-ля пришлите нам скрины ваших политик GPO для паролей, о, отлично, спасибо!
И чтобы не как по ссылке.

Есть же стандарты какие-то? Чтоб на выходе отчетик и табличка:
- Это ***ня, ***ню не лечим
- Это ***дец, ***дец неизлечим
- И т.д.

И туда же вопрос - а как вообще сливать read-only "образы" AD+GPO+всё остальное из целевого домена для последующего анализа? Делать бэкап system state ну это же нонсенс.

И еще:
Чем в мире мудрейших донов принято организовывать безагентский простейший мониторинг хостов чисто пингом + email уведомлялки? Желательно с установкой просто на виндовый хост. Я в курсе темы, но сильно лениво виртуалку с заббиксом поднимать, хоть оно и готовое уже.
  • de_nada

О чём спросить у ясеня... тополя... тьху! Гугла же! :)

Здравствуй, пятница - время акуительных историй разгадывания тайн мироздания. :)
И вам, коллеги, не хворать!

Вот, столкнулся тут с непонятным подземным стуком.

Дано:
- домен 2008R2 (и по ОС контроллеров, и по уровню); сразу говорю - DNS работает как часы, репликации, вот это вот всё;
- файлопомойка на Сервере 2008R2 (ес-сно, член домена), на ней Шара;
- Клиент Win7 Prof (тоже, ес-сно, член домена);
- Доменный Юзер, имеющий право доступа к Шаре (Full access) - как по шаренью, так и по NTFS на папку Шары;


Имеем артефакт:

- обращаемся с Клиента из-под учётки Доменного Юзера за доступом к Шаре:

\\имя Сервера\Шара

и получаем вопрос "а ты хто такой?" Ну т.е. стандартное окошко аутентификации, предлагающее ввести логин/пароль Доменного Юзера.
При этом ввод логина/пароля ничего не даёт - по нажатию на ОК форма смаргивает и просит опять ввести пароль (логин остаётся в ней сохранённым)... и так по кругу.

- обращаемся к шаре

\\IP Сервера\Шара

и получаем доступ к Шаре без всяких вопросов и условий, согласно оговоренным в свойствах Шары условиям доступа.
В логах Сервера ничего внятного система не мычит.

И что это было, позвольте полюбопытствовать??? Что у Гугля-то спрашивать прикажете в такой ситуации?


P.S. Извините, что пост не про инфобез. :)


UPDATE!

Всё оказалось ещё интереснее - за давностью времени я подзабыл, что в DNS моё "Имя Сервера" суть есть "Алиас" (было дело, "маневрировал" ресурсами, ну и перевёл доступ со "статики" (имена серверов и/или их IP) на "динамику.

Теперь понятно, в какую сторону RTFM`ить и гуглить.
Но за советы и пожелания всё равно всем спасибо. И хеппивикенд! :)