Score:1

ตัวควบคุมโดเมนประสบปัญหาการโหลดเครือข่ายจำนวนมากจากเครื่องเกือบทั้งหมดในโดเมน

ธง cn

เรากำลังประสบกับการเชื่อมต่อที่มีความถี่สูงและบ่อยครั้งจากเกือบทุกเครื่องในสภาพแวดล้อมของเราโดยไม่มีรูปแบบที่จดจำได้

เราถ่ายโอน ~110GB ไปยัง/จากตัวควบคุมโดเมนหลักของเรา (10.223.3.35 และ 10.223.3.14) ในช่วง 24 ชั่วโมงที่ผ่านมาผ่านพอร์ต 445

เมื่อเร็ว ๆ นี้เราได้ทำการเปลี่ยนแปลงต่อไปนี้ในสภาพแวดล้อมของเรา: (อย่างไรก็ตาม การเปลี่ยนแปลงเหล่านี้เกิดขึ้นประมาณ 7 วันหลังจากปัญหาเครือข่ายเกิดขึ้นครั้งแรก)

เข้ารหัสแบบดิจิทัลหรือเซ็นข้อมูลช่องทางที่ปลอดภัย (เสมอ) â เปิดใช้งาน
เข้ารหัสข้อมูลช่องทางที่ปลอดภัยแบบดิจิทัล (เมื่อเป็นไปได้) â เปิดใช้งาน
เซ็นชื่อแบบดิจิทัลข้อมูลช่องทางที่ปลอดภัย (เมื่อเป็นไปได้) â เปิดใช้งาน
ปิดใช้งานการเปลี่ยนรหัสผ่านบัญชีเครื่อง â DISABLED
อายุรหัสผ่านบัญชีเครื่องสูงสุด â 30
ต้องการเซสชันคีย์ที่แข็งแกร่ง (Windows 2000 หรือใหม่กว่า) â เปิดใช้งาน
ส่งรหัสผ่านที่ไม่ได้เข้ารหัสเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ SMB ของบุคคลที่สาม â ปิดการใช้งาน
อนุญาตการแปล SID/ชื่อที่ไม่ระบุชื่อ â ปิดใช้งาน
ไม่อนุญาตให้มีการแจงนับบัญชี SAM โดยไม่ระบุตัวตน â เปิดใช้งาน
ไม่อนุญาตให้มีการแจงนับบัญชี SAM และการแชร์โดยไม่ระบุชื่อ â เปิดใช้งาน
จำกัดการเข้าถึง Named Pipes and Shares โดยไม่ระบุตัวตน â Enabled
อนุญาตให้ใช้ LocalSystem NULL เซสชันสำรอง â ปิดใช้งาน
อย่าเก็บค่าแฮชของ LAN Manager ในการเปลี่ยนรหัสผ่านครั้งถัดไป â Enabled
ระดับการรับรองความถูกต้องของ LAN Manager - ส่งการตอบสนอง NTLMv2 เท่านั้น\ปฏิเสธ LM & NTLM
ข้อกำหนดการลงนามไคลเอนต์ LDAP - ต่อรองการลงนาม การรักษาความปลอดภัยเซสชันขั้นต่ำสำหรับไคลเอนต์ที่ใช้ NTLM SSP (รวมถึง RPC ที่ปลอดภัย) - ต้องการการรักษาความปลอดภัยเซสชัน NTLMv2 ต้องการการเข้ารหัส 128 บิต
การรักษาความปลอดภัยเซสชันขั้นต่ำสำหรับเซิร์ฟเวอร์ที่ใช้ NTLM SSP (รวมถึง RPC ที่ปลอดภัย) - ต้องการการรักษาความปลอดภัยเซสชัน NTLMv2, ต้องการการเข้ารหัส 128 บิต

Snort กลับมาพร้อมกับบันทึกประเภทนี้บ่อยครั้ง: 07/01-20:01:41.953634 [] [1:3276:2] NETBIOS DCERPC IActivation พยายามผูก endian เล็กน้อย [] [การจัดประเภท: ถอดรหัสคำสั่งโปรโตคอลทั่วไป] [ลำดับความสำคัญ: 3] {TCP} redactedIP:55424 -> 10.223.3.35:135

ดูเหมือนว่าตัวแสดงเหตุการณ์จะบันทึกเหตุการณ์ด้านความปลอดภัยจำนวนที่อนาจาร แต่ดูเหมือนว่าไม่มีเหตุการณ์ใดโดดเด่นการใช้งานดิสก์ในการตรวจสอบทรัพยากรอาจอยู่ที่ประมาณ 100MB/s และบางครั้งเครือข่ายก็อัปโหลด 150mbps หรือสูงกว่าโดยดูไม่มีเหตุผลที่ดี ไม่มีการถ่ายโอนข้อมูลหลักที่ระบุตัวตนได้และโดยเจตนาจากเครื่องที่มีปัญหาใดๆ

ข้อมูลเชิงลึกใด ๆ ที่ทุกคนสามารถให้ได้จะได้รับการชื่นชมมาก!

joeqwerty avatar
cv flag
เรียกใช้การจับแพ็กเก็ตบนตัวควบคุมโดเมนและวิเคราะห์การจับ
Quinn Favo avatar
cn flag
@joeqwerty ฉันรู้ว่าฉันลืมที่จะเพิ่มบางอย่าง การจับแพ็กเก็ตที่ผ่านมาฉันได้แสดงสิ่งที่น่าสนใจ: TCP ซ้ำ Ack TCP ส่งซ้ำอย่างรวดเร็ว TCP ล้าสมัย ข้อความต่อเนื่อง NBSS (ดูเหมือนจะเกี่ยวข้องกับ NetBios แต่ฉันต้องทำ googling)
Massimo avatar
ng flag
@joeqwerty อ้างอิงจากพอร์ต TCP และ I/O ดิสก์ขนาดใหญ่ที่เกี่ยวข้อง นี่คือทราฟฟิก SMB แน่นอน การตรวจสอบสิ่งที่กำลังดำเนินการผ่าน SMB น่าจะมีประโยชน์มากกว่าการดักจับเครือข่าย
joeqwerty avatar
cv flag
@Massimo การจับภาพจะบอก OP ว่าการรับส่งข้อมูล SMB นั้นเกี่ยวข้องกับอะไร เข้าถึงอะไรผ่าน SMB การจับภาพจะแสดงสิ่งนี้
cn flag
มีโปรโตคอลอื่นที่สามารถใช้ 445 ได้ (SAMR คือหนึ่ง) คุณยังสามารถปิดการใช้งาน Netbios ซึ่งไม่จำเป็น
cn flag
นอกจากนี้ หากคุณเปลี่ยน lmcompatibilitylevel เป็น `Send NTLMv2 response only\refuse LM & NTLM` โดยไม่ตรวจสอบ NTLM หรือยุติขั้นตอนนั้น อาจเกิดปัญหาได้ คุณอาจต้องการเปลี่ยนเพื่อให้ NTLM เห็นผลกระทบ
Score:3
ธง ng

TCP 445 คือ SMB นั่นคือการแชร์ไฟล์ของ Windows

คุณควรตรวจสอบกิจกรรม SMB ใน DCs ของคุณ คุณสามารถทำได้แบบกราฟิกจาก Computer Management MMC หรือผ่าน PowerShell โดยใช้ตัวเลือกต่างๆ รับ SmbXYX คำสั่งใน SmbShare.


นี้ สามารถ เป็นไวรัสที่แพร่กระจายผ่านเครือข่ายที่ใช้ร่วมกัน อย่างไรก็ตาม นี่เป็นเพียงการคาดเดาแบบสุ่มและอาจเป็นอย่างอื่นก็ได้

Quinn Favo avatar
cn flag
ขอบคุณสำหรับคำตอบ ฉันเพิ่งตรวจสอบตอนนี้ ฉันไม่แน่ใจว่าสิ่งใดที่ถือว่าปกติ แต่ฉันเห็นการเชื่อมต่อหลายร้อยรายการโดยบางไฟล์มีไฟล์เปิดมากกว่า 100 ไฟล์ บางคนเชื่อมต่อเป็นเวลา 18 วัน
Massimo avatar
ng flag
ตัวควบคุมโดเมนโฮสต์การแชร์ SYSVOL ซึ่งจัดเก็บนโยบายกลุ่ม เป็นเรื่องปกติที่คอมพิวเตอร์โดเมนจะเชื่อมต่อกับโดเมนนั้น อย่างไรก็ตาม การถ่ายโอนไฟล์จำนวนมากอย่างที่เกิดขึ้นที่นี่นั้น *ไม่* เป็นปกติอย่างแน่นอน
Massimo avatar
ng flag
คุณจะต้องตรวจสอบให้ลึกยิ่งขึ้นและตรวจสอบว่า *อะไร* กำลังอ่านหรือเขียนอยู่จริง และ *ที่ไหน*
SamErde avatar
gg flag
คุณมีนโยบายการติดตั้งซอฟต์แวร์ที่กำลังปรับใช้แพ็คเกจกับไคลเอ็นต์ สคริปต์การเข้าสู่ระบบ/การเริ่มต้นใดๆ หรือการกำหนดค่าตามความชอบ GP ของการปรับใช้ไฟล์ใดๆ หรือไม่

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา