История одного SSO: как мы подружили два независимых каталога пользователей через Keycloak

Привет, Хабр! Меня зовут Аскар Добряков, я ведущий эксперт направления защиты бизнес-приложений в К2 Кибербезопасность . При внедрении Single Sign-On, на первый взгляд, все должно идти по накатанной схеме: настраиваем федерацию со службой каталогов, связываем identity provider с service provider, проверяем работу токенов — и готово. Но дьявол, как всегда, кроется в деталях. Зачастую приходится решать нестандартные задачи. Например, как быть, если у вас две равноправных организации-партнера со своими требованиями к безопасности, и каждый хочет контролировать аутентификацию пользователей, но при этом пользователи одного партнера должны ходить в систему другого? В этой статье я расскажу, как мы с Даниилом Золотаревым, инженером нашей практики защиты приложений, проводили разработку кастомного аутентификатора для Keycloak, который позволил элегантно решить техническую задачу, стоявшую перед головной и дочерней организациями. Покажу, как мы обошли ограничения штатной функциональности, не нарушая требований безопасности обеих сторон. В процессе вы увидите технические детали реализации, примеры кода и практические советы по созданию собственных аутентификаторов. Думаю, статья будет полезна архитекторам, разработчикам и всем, кто интересуется тонкостями реализации сценариев SSO на базе Keycloak.

https://habr.com/ru/companies/k2tech/articles/911098/

#информационная_безопасность #keycloak #sso #кастомный_аутентификатор #аутентификация #active_directory #ldap #авторизация #корпоративные_системы

[Перевод] Настройка OpenIDM для синхронизации между Active Directory и OpenDJ

В этой статье мы настроим синхронизацию между Active Directory и OpenDJ в обе стороны. Таким образом изменения, внесенные в Active Directory, будут синхронизированы в OpenDJ и наоборот, изменения в OpenDJ будут синхронизированы с Active Directory.

https://habr.com/ru/articles/909226/

#active_directory #opendj #ldap #openidm #idm

Повышение защищенности Active Directory для чайников и не очень

В корпоративных средах развертывание Active Directory (AD) — де-факто стандарт для администрирования ИТ-инфраструктуры на Windows. Да, в России есть тренд импортозамещения и сопутствующее ему «переползание» на отечественные решения типа Astra Linux- ALD Pro и так далее. Но пока еще Windows стоит много где, и оборона домена AD — это стратегическая задача для большинства организаций. Кроме того, в процессе импортозамещения AD в вашей организации вполне может оказаться, что полный отказ от Windows+AD невозможен по ряду причин. Причем, как часто бывает, это может проявиться на этапе после того, как вы составили и согласовали техническое решение со всеми нужными инстанциями и регуляторами. Например, внезапно выясняется, что существует некий критический софт, который применяется только на винде и нормально работает только в условиях AD-домена. В итоге часть инфраструктуры продолжит функционировать по «неимпортозамещенной» схеме, при этом ежедневные задачи по администрированию и защите этого сегмента никуда не денутся. Даже если ваша организация избежит таких «подводных камней» при миграции на отечественные решения, согласитесь, что подобный переезд — продолжительный процесс, который в крупных инфраструктурах с большим количеством legacy вполне может занять годы. Атаки на Active Directory, по моему опыту, происходят каждый день, и тот факт, что организация в это самое время мигрирует на другое решение, не поможет оправдаться, если вас взламывают прямо сейчас. Короче говоря, если Active Directory используется в организации здесь и сейчас, не стоит пренебрегать мероприятиями по защите, несмотря ни на что.

https://habr.com/ru/companies/first/articles/903572/

#active_directory #ad #домен #кибербезопасность #безопасность

Как некомпетентная безопасница чуть не сорвала борьбу с инсайдерской угрозой

С яркой улыбкой и глубоким декольте она воодушевленно рассказывала коллеге в ИТ-отделе про киберугрозы. Харизма и энергия привлекали внимание, особенно мужчин, но скрывали слабые навыки. Год назад, работая в техподдержке за 40,000 рублей, она увидела вакансии ИБ-специалистов с зарплатами 100,000–200,000. Курсы по кибербезопасности казались пропуском в новую жизнь. Рекрутеры отказывали, пока она не попала на интервью к начальнику ИТ-отдела, не разбиравшемуся в безопасности. Энтузиазм и заученные термины сработали — так она стала безопасником в компании, поставляющей стройматериалы. Малый бизнес с 60 сотрудниками тратил деньги на зарплаты и ремонт офиса, а на безопасность оставался только бесплатный антивирус.

https://habr.com/ru/articles/902978/

#информационная_безопасность #activedirectory #linux #1с #active_directory #honeypot

[Перевод] Злоупотребление AD-DACL: WriteDacl

В этой статье мы рассмотрим эксплуатацию Discretionary Access Control Lists (DACL) с использованием разрешения WriteDacl в Active Directory. Злоумышленники могут злоупотреблять разрешением WriteDacl, чтобы получить несанкционированный доступ или изменить разрешения в соответствии со своими нуждами. Ниже описана настройка необходимого стенда, для моделирования таких атак, сопоставленных с MITRE ATT&CK. Также мы рассмотрим механизмы обнаружения для выявления подозрительной активности, связанной с атаками WriteDacl, и дадим практические рекомендации по устранению этих уязвимостей. Этот обзор обеспечивает специалистов по информационной безопасности критическими навыками по распознаванию и защите от таких распространенных угроз. Содержание

https://habr.com/ru/articles/901314/

#writedacl #ADDACL #linux #информационная_безопасность #кибербезопасность #пентест #pentest #active_directory

第855回　Sambaで作るActive Directory互換環境 （4） UNIX属性の利用
https://gihyo.jp/admin/serial/01/ubuntu-recipe/0855?utm_source=feed

#gihyo #技術評論社 #gihyo_jp #技術解説 #OS #サーバ関連 #Ubuntu #Samba #Active_Directory

第854回　Sambaで作るActive Directory互換環境（3） ドメインコントローラーの基本操作
https://gihyo.jp/admin/serial/01/ubuntu-recipe/0854?utm_source=feed

#gihyo #技術評論社 #gihyo_jp #技術解説 #OS #アプリケーション #ネットワーク技術 #サーバ関連 #Ubuntu #Samba #SMB #Active_Directory #AD

第853回　Sambaで作るActive Directory互換環境 （2） 2台目のドメインコントローラーの作成とSYSVOLフォルダの同期設定
https://gihyo.jp/admin/serial/01/ubuntu-recipe/0853?utm_source=feed

#gihyo #技術評論社 #gihyo_jp #技術解説 #OS #アプリケーション #ネットワーク技術 #サーバ関連 #Ubuntu #Samba #Active_Directory

Nice list of Active Directory training resources.

https://www.reddit.com/r/activedirectory/s/NGwWiyMiQ7

#activedirectory #Active_Directory

第852回　Sambaで作るActive Directory互換環境 （1）その特性と1台目のドメインコントローラーの構築
https://gihyo.jp/admin/serial/01/ubuntu-recipe/0852?utm_source=feed

#gihyo #技術評論社 #gihyo_jp #技術解説 #OS #アプリケーション #ネットワーク技術 #サーバ関連 #Ubuntu #Samba #SMB #Active_Directory #AD

Групповая политология, или еще один путь к администратору домена

Привет, Хабр! Давно хотел написать эти строчки, но получилось это сделать в возрасте, когда бытовых и семейных проблем становится все больше, а свободного времени все меньше. Моя первая статья, поэтому прошу не судить строго. Пару слов обо мне, или, как пишут в большинстве презентаций на профильных конференциях - who am i. Работаю пентестером вот уже немало лет в одной около-государственной компании, оказывающей услуги аудита информационной безопасности организациям, функционирующим в различных сферах деятельности. В своей работе часто приходится сталкиваться c пентестом внутрянки, и обычно (в 90% случаях) это Active Directory. Вот, пожалуй, и всё, перейдем ближе к делу.

https://habr.com/ru/articles/884836/

#пентест #active_directory #group_policy #bloodhound #scheduled_task

[Перевод] Targeted Timeroasting: Кража пользовательских хешей с помощью NTP

В компании Avanpost мы занимаемся разработкой собственной службы каталогов Avanpost DS. Она плотно интегрируется с Microsoft Active Directory для обеспечения долговременного сосуществования инфраструктур: поддерживает различные виды доверительных отношений, включая двусторонние, специфичные расширения Kerberos и еще много закрытых функций, имплементация которых требует глубокого понимания устройства доменных служб MS. Для их реализации нам пришлось изучить множество документации, а кое-где и прибегнуть к реверс-инжинирингу. Соответственно, сейчас мы следим за изменениями, которые вносит MS в свой продукт и, в особенности, за изменениями в области безопасности, ведь чаще всего именно они приводят к нарушению работоспособности интеграций. Наткнувшись на статью Giulio Pierantoni на Medium, мы не смогли пройти мимо и решили поделиться ей с русскоязычным сообществом.

https://habr.com/ru/companies/avanpost/articles/879636/

#activedirectory #active_directory #timeroasting #avanpost #powershell #уязвимости #привилегированный_доступ

Свой Google в локалке. Ищем иголку в стоге сена

В статье мы разработаем свой собственный Google, который можно будет запустить в любой локальной сети как атакующим, что ищут пароли, так и защитникам, которым небезразлична безопасность их родной локалки. И что примечательно, наш Google будет состоять на 99% из готовых компонентов, практически без дополнительного программирования. А внедрение такой системы потребует ввода всего пары команд.

https://habr.com/ru/companies/ussc/articles/878340/

#active_directory #google #smb #tesseract #vosk #csv #gnu #ftp #краулинг #dcap

Kerberoasting (в т.ч. без пароля пользователя) + артефакты

🔥Атака Kerberoasting позволяет злоумышленнику захватить сервисную УЗ путём запроса TGS с указанием имени этой сервисной УЗ и последующим брутфорсом билета. А можно ли как-то провести атаку, не имея в арсенале доступ ни к одной доменной УЗ?

https://habr.com/ru/articles/875694/

#active_directory #kerberoasting #cybersecurity

Take control. Как мы забрали управление заводом у иностранцев

Весной 2022 года наша команда столкнулась с нестандартной задачей: за две недели нужно было перенести всю ИТ-инфраструктуру крупного производственного предприятия из-под контроля иностранного менеджмента в российскую юрисдикцию. На кону стояла непрерывность работы завода: от заводских станков до систем учета и документооборота. Меня зовут Константин Ким, я эксперт по сетевым технологиям ИТ-интегратора К2Тех. В этой статье я расскажу, как мы в условиях хаоса и начинающейся паники перенесли все критически важные системы заказчика в Россию и забрали управление всем оборудованием. Вы узнаете о технических особенностях миграции Active Directory, восстановлении доступа к сетевому оборудованию Cisco и Aruba, а также о психологической поддержке построении доверительных отношений с заказчиком в кризисной ситуации. Мы готовились к разным сценариям развития событий — от идеального до наихудшего. Как все получилось на деле — читайте под катом.

https://habr.com/ru/companies/k2tech/articles/875262/

#миграция_итинфраструктуры #производственная_итинфраструктура #восстановление_доступа #cisco #aruba #active_directory #password_recovery

Харденинг zVirt: защищаем виртуальную среду от хакеров

Один из наших клиентов поделился деталями атаки, в результате которой злоумышленники зашифровали диски многих виртуальных машин на его платформах виртуализации. Другой наш партнер рассказал такую историю — некоторые виртуальные машины в его парке начали активно, не характерно для них, потреблять процессорные мощности. Дальнейшее расследование показало, что хакеры получили доступ к платформе виртуализации через скомпрометированный каталог Active Directory и установили на серверы майнеры. Эти истории сподвигли меня на то, чтобы разобрать проблему безопасности виртуальных сред с помощью методики ХардкорИТ. Конечно, время вспять мы не повернем, но помочь героям наших кейсов и другим компаниям избежать подобных атак в будущем — вполне. Подробности под катом! При чем же здесь виртуализация?

https://habr.com/ru/companies/pt/articles/869836/

#zvirt #харденинг #cybersecurity #rb #кибератаки #взлом #active_directory #ldap #гипервизор #виртуальная_машина

Sortie de LDAP Tool Box Service Desk en version O.6 https://linuxfr.org/news/sortie-de-ldap-tool-box-service-desk-en-version-o-6 #active_directory #ldap_tool_box #Sécurité #openldap #ldap

Управление членством в группах Active Directory в OpenIDM

Эта статья является продолжением статьи про управление учетными записями Active Directory через OpenIDM. В этой статье мы настроем IDM таким образом, чтобы добавлять и убирать пользователей из групп Active Directory.

https://habr.com/ru/articles/863652/

#idm #openidm #identity_management #active_directory #opensource #enterprise

第839回　Active Directoryへの統合ツールadsysを使う（4） Ubuntu Proサブスクリプションを必要とするポリシーの紹介
https://gihyo.jp/admin/serial/01/ubuntu-recipe/0839?utm_source=feed

#gihyo #技術評論社 #gihyo_jp #技術解説 #OS #サーバ関連 #Ubuntu #adsys #Active_Directory #adwatchd #Windows

第838回　Active Directoryへの統合ツールadsysを使う（3） グループポリシーの設定
https://gihyo.jp/admin/serial/01/ubuntu-recipe/0838?utm_source=feed

#gihyo #技術評論社 #gihyo_jp #技術解説 #OS #サーバ関連 #Ubuntu #adsys #Active_Directory