Archive for 'Active Directory' Category

How to restore deleted user accounts and their group memberships in Active Directory – Pre W2K8 version

By Andrei Ungureanu - Last updated: Tuesday, July 26, 2016

Am dat de foarte multe scenarii unde s-au facut modificari “accidentale” si toata lumea credea ca acel AD Recycle Bin o sa ii ajute. Pai daca nu a fost activat, atunci nu are cum sa te ajute. In cazul asta tot variantele folosite in trecut trebuiesc folosite: https://support.microsoft.com/en-us/kb/840001 A trecut atat de mult timp de […]

MS16-071 – Patch Now

By Andrei Ungureanu - Last updated: Tuesday, June 21, 2016

A trecut o saptamana de cand a fost publicat security bulletinul pe luna Iunie si vad ca lumea nu se grabeste instaleze nimic. Dar MS16-071 e motivul pentru care trebuie sa urgentati update-ul pe server. Este remote exploitable, foloseste un protocol ce este foarte usor permis prin firewall-uri, iar serviciul afectat ruleaza in multe cazuri […]

Privileged Access Management in Windows 2016 Active Directory

By Andrei Ungureanu - Last updated: Tuesday, May 3, 2016

So this PAM (Privileged Access Management) stuff is something I thought I need to write it in English since there is not so much information about it. This feature is something that Microsoft is making a big fuss on how to use it with MIM (Microsoft Identity Manager) but not on how to leverage at […]

NTDS.DIT Forensincs

By Andrei Ungureanu - Last updated: Monday, April 18, 2016

M-am gandit sa partajez aici cateva materiale despre atacurile offline asupra bazei de date Active Directory, NTDS.DIT. Nu le vad ca pe hacking, ci mai mult educationale. Contin multe informatii nedocumentate ce va ajuta sa intelegeti cum functioneaza Active Directory si va deschid ochii asupra atacurilor existente. http://ntdsxtract.com/downloads/ntdsxtract/ntds_forensics.pdf http://www.dataforensics.org/microsoft-active-directory/ http://moyix.blogspot.ro/2008/02/syskey-and-sam.html PS: acum cred ca e […]

Kerberos Token Bloat, Again

By Andrei Ungureanu - Last updated: Sunday, March 27, 2016

Am mai scris si o sa mai scriu probabil despre subiectul asta pentru ca pe masura ce trece timpul sunt sigur ca o sa vad tot mai multe astfel de cazuri (asta daca nu migreaza toata lumea pe Windows 10 si Windows 2012R2 sau mai mare). Ca definitie, Kerberos Token Bloat se refera la scenariul […]

LAPS.E

By Andrei Ungureanu - Last updated: Tuesday, March 15, 2016

In caz ca Local Administrator Password Solution, solutia descrisa de mine aici nu va multumeste pentru ca informatia stocata in Active Directory nu este criptata, exista si un proiect open source ce vine si cu aceasta posibilitate. Solutia se numeste LAPS.E si mai multe informatii gasiti in link-urile de mai jos: http://www.laps-e.net/index.php https://github.com/jformacek/laps-e https://code.msdn.microsoft.com/solution-for-management-of-ae44e789 PS: […]

Local Administrator Password Solution aka LAPS

By Andrei Ungureanu - Last updated: Friday, March 11, 2016

Eu am spus de multe ori ca cea mai buna solutie pentru protejarea conturilor locale (si de acolo a intregii infrastructuri) este parola unica pe fiecare cont local. Cu un sistem centralizat si bine securizat in care sa stochezi aceste parole, devine floare la ureche. Insa pana de curand, cam tot ce vazusem era destul […]

How NTLM authentication works

By Andrei Ungureanu - Last updated: Tuesday, February 23, 2016

Despre Kerberos se tot vrobeste insa sunt multe cazuri in care ne confruntam si cu NTLM iar pentru a diagnostica problemele de autentificare e bine sa intelegem si cum functioneaza. Mai jos sunt etapele procesului de autentificare: (Interactive authentication only) A user accesses a client computer and provides a domain name, user name, and password. […]

GPO Logon Script Delay–Windows 10 update

By Andrei Ungureanu - Last updated: Thursday, February 18, 2016

Am scris anul trecut despre Logon Script Delay in Windows 8.1 si spre surprinderea mea lucrurile s-au schimbat in Windows 10. Initial mi-a atras atentia un articol al lui Darren Mar-Elia insa nu am crezut pana nu am vazut cu ochii mei. Pentru ca folosind gpedit.msc pe un sistem cu Windows 10 imi spune in […]

Group Policy Client service stopped

By Andrei Ungureanu - Last updated: Wednesday, January 27, 2016

Incepand cu Windows 8 este posibil sa observati un comportament diferit al serviciului Group Policy Client si anume e posibil sa il gasiti oprit cateodata. Nu va repeziti sa il porniti. Acesta este comportamentul default incepand cu Windows 8 si este gandit asa pentru a optimiza mai bine resursele sistemului (exceptie de la acest caz […]