Brute Forcing Domain Controller

Naviga le tue risposte
1

Ho un controller di dominio MS-Server2K3 che funge anche da server di Exchange. A causa della recente perdita di velocità della rete e dei problemi, ho iniziato a esaminare i registri degli eventi e ho notato un numero eccezionalmente elevato di controlli delle anomalie, che è un ovvio attacco di dizionario che cicla attraverso gli utenti in ordine alfabetico. Il nome della workstation era lo stesso server che ospita il controller di dominio. Anche il punto di accesso era advapi. Questo si è fermato

In aggiunta a questo ho un grande volume di dichiarazioni di informazioni MSExcahnge AL nei registri delle domande di scambio. 20-30 al secondo. Operazioni Ldap, ricerca di directory e chiamata completata al provider del gruppo di criteri.

Che cosa potrebbe causare questo e come prevenirlo. Abbiamo protezioni antivirus coerenti attraverso la rete e abbiamo eseguito un rapido anti-malware su questo server.

Se c'è qualcosa che devo chiarire per favore fammi sapere. Sono relativamente nuovo alla directory e allo scambio attivi.

Grazie

    
posta h8a 21.03.2013 - 20:16
fonte

1 risposta

0

Se sei sicuro che sia un attacco basato sulla forza bruta / dizionario contro l'autenticazione del controller di dominio, l'anti-virus potrebbe non aiutarti. L'anti-virus funziona sulla strategia basata sulle firme in cui i tentativi di autenticazione falliti (parte di attacco) sono solo normali tentativi di connessione senza portare alcun dato malevolo in essi. Quindi scanner antivirus o malware non sarà in grado di fornirti alcuna informazione al riguardo.

Dovresti provare a trovare workstation sorgente / membro del dominio che sta lanciando un attacco brute force contro il tuo DC. E ulteriori indagini dovrebbero essere avviate chi utilizza questa workstation a seconda dei tempi di attacco, uso valido / non valido dei cred se sia da un utente interno autorizzato o da qualcuno sulla rete che tenta di lanciare un attacco da una prospettiva non autenticata.

È possibile impedirlo tramite la funzionalità di rilevamento delle intrusioni basata su host in cui tali tentativi di massa dovrebbero essere bloccati dall'indirizzo IP o da qualsiasi software di monitoraggio della rete che dovrebbe indicare un picco di traffico verso il controller di dominio da una particolare fonte.

    
risposta data 22.03.2013 - 12:05
fonte

Leggi altre domande sui tag

Quali problemi di sicurezza ci sono durante la lettura dei cookie con .htaccess? I client Owncloud utilizzano la crittografia durante il trasferimento di file da e verso il server?