Tham gia Đăng nhập
Điểm:1
Quinn Favo avatar Server

Bộ điều khiển miền gặp phải tải mạng nặng từ hầu hết các máy trong miền

lá cờ cn
Quinn Favo

Chúng tôi đang gặp phải các kết nối thường xuyên và băng thông cao từ hầu hết mọi máy trong môi trường của chúng tôi mà không có mẫu nào có thể nhận dạng được.

Chúng tôi đã chuyển ~110GB đến/từ bộ điều khiển miền chính của mình (10.223.3.35 và 10.223.3.14) trong 24 giờ qua qua cổng 445

Gần đây, chúng tôi đã thực hiện những thay đổi sau trong môi trường của mình: (tuy nhiên những thay đổi này được thực hiện khoảng 7 ngày sau khi xảy ra sự cố mạng lần đầu tiên)

Mã hóa kỹ thuật số hoặc ký dữ liệu kênh an toàn (luôn luôn) â Đã bật
Mã hóa kỹ thuật số dữ liệu kênh an toàn (khi có thể) â Đã bật
Ký điện tử dữ liệu kênh an toàn (khi có thể) â Đã bật
Tắt thay đổi mật khẩu tài khoản máy â DISABLED
Tuổi tối đa của mật khẩu tài khoản máy â 30
Yêu cầu khóa phiên mạnh (Windows 2000 trở lên) â Đã bật
Gửi mật khẩu không được mã hóa để kết nối với máy chủ SMB của bên thứ ba â ĐÃ TẮT
Cho phép dịch tên/SID ẩn danh â ĐÃ TẮT
Không cho phép liệt kê ẩn danh các tài khoản SAM â Đã bật
Không cho phép liệt kê ẩn danh các tài khoản và chia sẻ SAM â Đã bật
Hạn chế quyền truy cập ẩn danh vào Named Pipes và Shares â Đã bật
Cho phép dự phòng phiên NULL của LocalSystem â Đã tắt
Không lưu trữ giá trị băm LAN Manager trong lần thay đổi mật khẩu tiếp theo â Đã bật
Mức xác thực Trình quản lý mạng LAN - Chỉ gửi phản hồi NTLMv2\từ chối LM & NTLM
Yêu cầu ký ứng dụng khách LDAP - Ký thỏa thuận Bảo mật phiên tối thiểu cho máy khách dựa trên NTLM SSP (bao gồm cả RPC bảo mật) - Yêu cầu bảo mật phiên NTLMv2, Yêu cầu mã hóa 128 bit
Bảo mật phiên tối thiểu cho máy chủ dựa trên NTLM SSP (bao gồm RPC bảo mật) - Yêu cầu bảo mật phiên NTLMv2, Yêu cầu mã hóa 128 bit

Snort thường xuyên quay lại với loại nhật ký này: 01/07-20:01:41.953634 [] [1:3276:2] NETBIOS DCERPC IKích hoạt nỗ lực liên kết cuối nhỏ [] [Phân loại: Giải mã lệnh giao thức chung] [Mức độ ưu tiên: 3] {TCP} redactedIP:55424 -> 10.223.3.35:135

Trình xem sự kiện dường như đang ghi nhật ký một số sự kiện bảo mật tục tĩu nhưng dường như không có sự kiện nào nổi bật.Tốc độ sử dụng đĩa trong màn hình tài nguyên có thể ở mức khoảng 100MB/giây và mạng đôi khi tải lên 150mbps hoặc cao hơn mà dường như không có lý do chính đáng. Không có sự truyền dữ liệu chính có chủ ý, có thể xác định được từ bất kỳ máy nào có vấn đề.

Bất kỳ thông tin chi tiết nào mà bất kỳ ai cũng có thể cung cấp đều được đánh giá cao!

556
1 + 6
joeqwerty avatar
lá cờ cv
joeqwerty
Chạy chụp gói trên Bộ điều khiển miền và phân tích chụp.
0
Hồi đáp
Quinn Favo avatar
lá cờ cn
Quinn Favo
@joeqwerty Tôi biết tôi đã quên thêm thứ gì đó. Một lần chụp gói trước đây tôi đã thực hiện cho thấy một số điều thú vị: Xác nhận trùng lặp TCP Truyền lại nhanh TCP TCP không theo thứ tự Thông báo tiếp tục NBSS (dường như có liên quan đến NetBios nhưng tôi cần thực hiện một số thao tác trên Google)
0
Hồi đáp
Massimo avatar
lá cờ ng
Massimo
@joeqwerty Dựa trên cổng TCP và I/O đĩa nặng có liên quan, đây chắc chắn là lưu lượng SMB; điều tra những gì đang thực sự được thực hiện thông qua SMB sẽ hữu ích hơn nhiều so với chụp mạng.
0
Hồi đáp
joeqwerty avatar
lá cờ cv
joeqwerty
@Massimo, một bản chụp sẽ cho OP biết lưu lượng SMB có liên quan đến điều gì. Những gì đang được truy cập thông qua SMB? Một bản chụp sẽ cho thấy điều này.
0
Hồi đáp
lá cờ cn
Greg Askew
Có các giao thức khác có thể sử dụng 445 (SAMR là một). Bạn cũng có thể tắt Netbios - điều đó không cần thiết.
0
Hồi đáp
lá cờ cn
Greg Askew
Ngoài ra, nếu bạn đã thay đổi mức độ tương thích lm thành `Chỉ gửi phản hồi NTLMv2\từ chối LM & NTLM` mà không kiểm tra NTLM hoặc thực hiện điều đó theo từng giai đoạn, thì đó có thể là một vấn đề. Bạn có thể muốn thay đổi điều đó để cho phép NTLM thấy ảnh hưởng.
0
Hồi đáp
Điểm:3
Massimo avatar Server
lá cờ ng
Massimo

TCP 445 là SMB, tức là chia sẻ tệp Windows.

Bạn nên giám sát hoạt động SMB trên DC của mình; bạn có thể thực hiện điều đó bằng đồ họa từ MMC Quản lý Máy tính hoặc qua PowerShell bằng cách sử dụng nhiều Get-SmbXYX lệnh trong SmbShare.

Cái này có thể là một loại virus lây lan qua mạng chia sẻ; tuy nhiên, đây chỉ là một dự đoán ngẫu nhiên và nó thực sự có thể là bất cứ điều gì khác.

0 + 4
Quinn Favo avatar
lá cờ cn
Quinn Favo
Cảm ơn câu trả lời của bạn, tôi chỉ cần kiểm tra nó ngay bây giờ. Tôi không chắc điều gì được coi là bình thường nhưng tôi thấy hàng trăm kết nối với một số kết nối có hơn 100 tệp đang mở. Một số đã được kết nối trong 18 ngày.
0
Hồi đáp
Massimo avatar
lá cờ ng
Massimo
Bộ điều khiển miền lưu trữ chia sẻ SYSVOL, nơi các chính sách nhóm được lưu trữ; việc các máy tính trong miền kết nối với nó là điều hoàn toàn bình thường. Tuy nhiên, việc truyền tệp nặng như những gì dường như đang diễn ra ở đây chắc chắn là *không* bình thường.
0
Hồi đáp
Massimo avatar
lá cờ ng
Massimo
Bạn sẽ cần điều tra sâu hơn và kiểm tra *cái gì* đang thực sự được đọc hoặc viết và *ở đâu*.
0
Hồi đáp
SamErde avatar
lá cờ gg
SamErde
Bạn có chính sách cài đặt phần mềm đang triển khai gói cho khách hàng, bất kỳ tập lệnh đăng nhập/khởi động nào hoặc bất kỳ tùy chọn GP triển khai tệp nào không?
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.