เรากำลังประสบกับการเชื่อมต่อที่มีความถี่สูงและบ่อยครั้งจากเกือบทุกเครื่องในสภาพแวดล้อมของเราโดยไม่มีรูปแบบที่จดจำได้
เราถ่ายโอน ~110GB ไปยัง/จากตัวควบคุมโดเมนหลักของเรา (10.223.3.35 และ 10.223.3.14) ในช่วง 24 ชั่วโมงที่ผ่านมาผ่านพอร์ต 445
เมื่อเร็ว ๆ นี้เราได้ทำการเปลี่ยนแปลงต่อไปนี้ในสภาพแวดล้อมของเรา: (อย่างไรก็ตาม การเปลี่ยนแปลงเหล่านี้เกิดขึ้นประมาณ 7 วันหลังจากปัญหาเครือข่ายเกิดขึ้นครั้งแรก)
เข้ารหัสแบบดิจิทัลหรือเซ็นข้อมูลช่องทางที่ปลอดภัย (เสมอ) â เปิดใช้งาน
เข้ารหัสข้อมูลช่องทางที่ปลอดภัยแบบดิจิทัล (เมื่อเป็นไปได้) â เปิดใช้งาน
เซ็นชื่อแบบดิจิทัลข้อมูลช่องทางที่ปลอดภัย (เมื่อเป็นไปได้) â เปิดใช้งาน
ปิดใช้งานการเปลี่ยนรหัสผ่านบัญชีเครื่อง â DISABLED
อายุรหัสผ่านบัญชีเครื่องสูงสุด â 30
ต้องการเซสชันคีย์ที่แข็งแกร่ง (Windows 2000 หรือใหม่กว่า) â เปิดใช้งาน
ส่งรหัสผ่านที่ไม่ได้เข้ารหัสเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ SMB ของบุคคลที่สาม â ปิดการใช้งาน
อนุญาตการแปล SID/ชื่อที่ไม่ระบุชื่อ â ปิดใช้งาน
ไม่อนุญาตให้มีการแจงนับบัญชี SAM โดยไม่ระบุตัวตน â เปิดใช้งาน
ไม่อนุญาตให้มีการแจงนับบัญชี SAM และการแชร์โดยไม่ระบุชื่อ â เปิดใช้งาน
จำกัดการเข้าถึง Named Pipes and Shares โดยไม่ระบุตัวตน â Enabled
อนุญาตให้ใช้ LocalSystem NULL เซสชันสำรอง â ปิดใช้งาน
อย่าเก็บค่าแฮชของ LAN Manager ในการเปลี่ยนรหัสผ่านครั้งถัดไป â Enabled
ระดับการรับรองความถูกต้องของ LAN Manager - ส่งการตอบสนอง NTLMv2 เท่านั้น\ปฏิเสธ LM & NTLM
ข้อกำหนดการลงนามไคลเอนต์ LDAP - ต่อรองการลงนาม
การรักษาความปลอดภัยเซสชันขั้นต่ำสำหรับไคลเอนต์ที่ใช้ NTLM SSP (รวมถึง RPC ที่ปลอดภัย) - ต้องการการรักษาความปลอดภัยเซสชัน NTLMv2 ต้องการการเข้ารหัส 128 บิต
การรักษาความปลอดภัยเซสชันขั้นต่ำสำหรับเซิร์ฟเวอร์ที่ใช้ NTLM SSP (รวมถึง RPC ที่ปลอดภัย) - ต้องการการรักษาความปลอดภัยเซสชัน NTLMv2, ต้องการการเข้ารหัส 128 บิต
Snort กลับมาพร้อมกับบันทึกประเภทนี้บ่อยครั้ง: 07/01-20:01:41.953634 [] [1:3276:2] NETBIOS DCERPC IActivation พยายามผูก endian เล็กน้อย [] [การจัดประเภท: ถอดรหัสคำสั่งโปรโตคอลทั่วไป] [ลำดับความสำคัญ: 3] {TCP} redactedIP:55424 -> 10.223.3.35:135
ดูเหมือนว่าตัวแสดงเหตุการณ์จะบันทึกเหตุการณ์ด้านความปลอดภัยจำนวนที่อนาจาร แต่ดูเหมือนว่าไม่มีเหตุการณ์ใดโดดเด่นการใช้งานดิสก์ในการตรวจสอบทรัพยากรอาจอยู่ที่ประมาณ 100MB/s และบางครั้งเครือข่ายก็อัปโหลด 150mbps หรือสูงกว่าโดยดูไม่มีเหตุผลที่ดี ไม่มีการถ่ายโอนข้อมูลหลักที่ระบุตัวตนได้และโดยเจตนาจากเครื่องที่มีปัญหาใดๆ
ข้อมูลเชิงลึกใด ๆ ที่ทุกคนสามารถให้ได้จะได้รับการชื่นชมมาก!
TCP 445 คือ SMB นั่นคือการแชร์ไฟล์ของ Windows
คุณควรตรวจสอบกิจกรรม SMB ใน DCs ของคุณ คุณสามารถทำได้แบบกราฟิกจาก Computer Management MMC หรือผ่าน PowerShell โดยใช้ตัวเลือกต่างๆ รับ SmbXYX คำสั่งใน SmbShare.
นี้ สามารถ เป็นไวรัสที่แพร่กระจายผ่านเครือข่ายที่ใช้ร่วมกัน อย่างไรก็ตาม นี่เป็นเพียงการคาดเดาแบบสุ่มและอาจเป็นอย่างอื่นก็ได้
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
