#kerberos — Public Fediverse posts

💥BATTLE DER GIGANTEN💥

Zwei Figuren aus der griechischen Mythologie treten gegeneinander an und ihr entscheidet wer gewinnt!
Wer ist stärker? Und wieso? Wer hat die fieseren Tricks?

Heute:
💖Love vs Wauwau🐶

...3...2...1...FIGHT!💥

#daschaosundseinekinder #battledergiganten #olympia #olympischespiele #herz #aphrodite #Götter #tier #Göttin #kampf #wergewinnt #griechischemythologie #chaos #cerberus #zerberos #antike #mythen #kerberos

💥BATTLE DER GIGANTEN💥

Zwei Figuren aus der griechischen Mythologie treten gegeneinander an und ihr entscheidet wer gewinnt!
Wer ist stärker? Und wieso? Wer hat die fieseren Tricks?

Heute:
💖Love vs Wauwau🐶

...3...2...1...FIGHT!💥

#daschaosundseinekinder #battledergiganten #olympia #olympischespiele #herz #aphrodite #Götter #tier #Göttin #kampf #wergewinnt #griechischemythologie #chaos #cerberus #zerberos #antike #mythen #kerberos

💥BATTLE DER GIGANTEN💥

Zwei Figuren aus der griechischen Mythologie treten gegeneinander an und ihr entscheidet wer gewinnt!
Wer ist stärker? Und wieso? Wer hat die fieseren Tricks?

Heute:
💖Love vs Wauwau🐶

...3...2...1...FIGHT!💥

#daschaosundseinekinder #battledergiganten #olympia #olympischespiele #herz #aphrodite #Götter #tier #Göttin #kampf #wergewinnt #griechischemythologie #chaos #cerberus #zerberos #antike #mythen #kerberos

chromium-browser (104.0.5112.79-1) unstable; urgency=low

We've switched the default search engine from Google to DuckDuckGo.
To manually override it, just go into Settings, click "Search Engine",
and next to "Search engine used in the address bar", select a different
search engine from the pull-down.

Also, catching up on a few upstream changes:

#TLSv1 and TLSv1.1 support have been completely dropped from chromium
(as described in https://chromestatus.com/feature/5759116003770368).
Support for CPUs that lack #SSE3 extensions has also been dropped (as
described on
https://www.tomshardware.com/news/chrome-stops-working-on-old-processors).
Most users shouldn't notice, unless you're using older hardware or
"securely" communicating with older hardware.

Lastly, #Chromium 101 changed a setting for host-based authentication.
This broke some folks' #Kerberos, among other things. "AuthServerWhitelist"
was renamed to "AuthServerAllowlist", as described in
https://bugs.debian.org/1013268

-- Andres Salomon <[email protected]> Tue, 16 Aug 2022 17:29:29 -0400

#Debian #Changelog

Думаем графами с IPAHound

Всем привет, меня зовут Михаил Сухов, я участник команды PT SWARM. Нам в команде все чаще встречается инфраструктура, построенная на базе альтернативных реализаций службы каталога Microsoft Active Directory. Одной из таких реализаций, заслуженно получившей большое распространение является FreeIPA. В ходе работы с FreeIPA стало очевидно, что можно изучать еще и архитектурные особенности, которые сильно отличаются от AD. Так появился IPAHound — наш аналог BloodHound для FreeIPA. За основу был взят проект BloodHound Legacy с поддержкой PKI. Мы неоднократно использовали IPAHound в своих проектах по поиску уязвимостей. В этой статье я расскажу о нашем инструменте. Также посмотрим на различные способы анализа связей, облегчающие продвижение в FreeIPA.

https://habr.com/ru/companies/pt/articles/1028412/

#ipahound #freeipa #ldap #sudo #selinux #kerberos #pentest #ald pro #bloodhound

Думаем графами с IPAHound

Всем привет, меня зовут Михаил Сухов, я участник команды PT SWARM. Нам в команде все чаще встречается инфраструктура, построенная на базе альтернативных реализаций службы каталога Microsoft Active Directory. Одной из таких реализаций, заслуженно получившей большое распространение является FreeIPA. В ходе работы с FreeIPA стало очевидно, что можно изучать еще и архитектурные особенности, которые сильно отличаются от AD. Так появился IPAHound — наш аналог BloodHound для FreeIPA. За основу был взят проект BloodHound Legacy с поддержкой PKI. Мы неоднократно использовали IPAHound в своих проектах по поиску уязвимостей. В этой статье я расскажу о нашем инструменте. Также посмотрим на различные способы анализа связей, облегчающие продвижение в FreeIPA.

https://habr.com/ru/companies/pt/articles/1028412/

#ipahound #freeipa #ldap #sudo #selinux #kerberos #pentest #ald pro #bloodhound

Думаем графами с IPAHound

Всем привет, меня зовут Михаил Сухов, я участник команды PT SWARM. Нам в команде все чаще встречается инфраструктура, построенная на базе альтернативных реализаций службы каталога Microsoft Active Directory. Одной из таких реализаций, заслуженно получившей большое распространение является FreeIPA. В ходе работы с FreeIPA стало очевидно, что можно изучать еще и архитектурные особенности, которые сильно отличаются от AD. Так появился IPAHound — наш аналог BloodHound для FreeIPA. За основу был взят проект BloodHound Legacy с поддержкой PKI. Мы неоднократно использовали IPAHound в своих проектах по поиску уязвимостей. В этой статье я расскажу о нашем инструменте. Также посмотрим на различные способы анализа связей, облегчающие продвижение в FreeIPA.

https://habr.com/ru/companies/pt/articles/1028412/

#ipahound #freeipa #ldap #sudo #selinux #kerberos #pentest #ald pro #bloodhound

Думаем графами с IPAHound

Всем привет, меня зовут Михаил Сухов, я участник команды PT SWARM. Нам в команде все чаще встречается инфраструктура, построенная на базе альтернативных реализаций службы каталога Microsoft Active Directory. Одной из таких реализаций, заслуженно получившей большое распространение является FreeIPA. В ходе работы с FreeIPA стало очевидно, что можно изучать еще и архитектурные особенности, которые сильно отличаются от AD. Так появился IPAHound — наш аналог BloodHound для FreeIPA. За основу был взят проект BloodHound Legacy с поддержкой PKI. Мы неоднократно использовали IPAHound в своих проектах по поиску уязвимостей. В этой статье я расскажу о нашем инструменте. Также посмотрим на различные способы анализа связей, облегчающие продвижение в FreeIPA.

https://habr.com/ru/companies/pt/articles/1028412/

#ipahound #freeipa #ldap #sudo #selinux #kerberos #pentest #ald pro #bloodhound

Самое подробное руководство по использованию утилиты ktpass в среде Active Directory

Давайте разберем как с помощью утилиты ktpass.exe создавать гарантированно рабочие файлы keytab . Подробно и с примерами рассмотрим каждый параметр утилиты ktpass.exe . А самое интересное - вы узнаете неочевидные факты о принципах использовании salt при генерации ключей Kerberos, из-за которой получаются нерабочие ключи AES. В этом поможет инспекция базы ntds.dit командлетами DSInternals.

https://habr.com/ru/articles/1029892/

#kerberos #keytab

Интеграция MULTIDIRECTORY и MULTIFACTOR: двухфакторная аутентификация в Kerberos

Kerberos — один из тех протоколов, которые в инфраструктуре работают «тихо». Пользователь вошёл в систему один раз, и дальше всё открывается без лишних вопросов. За этим удобством стоит строгая модель доверия, построенная вокруг KDC и тикетов. Но есть нюанс: классический Kerberos — это по сути однофакторная аутентификация. Если пароль скомпрометирован, вся цепочка доверия находится под угрозой. В этой статье разберём, как можно усилить Kerberos с помощью второго фактора и как это реализовано в связке MULTIDIRECTORY и MULTIFACTOR.

https://habr.com/ru/companies/multifactor/articles/1027480/

#multidirectory #multifactor #kerberos #2fa #2faаутентификация #служба_каталогов #мультифактор

Интеграция MULTIDIRECTORY и MULTIFACTOR: двухфакторная аутентификация в Kerberos

Kerberos — один из тех протоколов, которые в инфраструктуре работают «тихо». Пользователь вошёл в систему один раз, и дальше всё открывается без лишних вопросов. За этим удобством стоит строгая модель доверия, построенная вокруг KDC и тикетов. Но есть нюанс: классический Kerberos — это по сути однофакторная аутентификация. Если пароль скомпрометирован, вся цепочка доверия находится под угрозой. В этой статье разберём, как можно усилить Kerberos с помощью второго фактора и как это реализовано в связке MULTIDIRECTORY и MULTIFACTOR.

https://habr.com/ru/companies/multifactor/articles/1027480/

#multidirectory #multifactor #kerberos #2fa #2faаутентификация #служба_каталогов #мультифактор

Интеграция MULTIDIRECTORY и MULTIFACTOR: двухфакторная аутентификация в Kerberos

Kerberos — один из тех протоколов, которые в инфраструктуре работают «тихо». Пользователь вошёл в систему один раз, и дальше всё открывается без лишних вопросов. За этим удобством стоит строгая модель доверия, построенная вокруг KDC и тикетов. Но есть нюанс: классический Kerberos — это по сути однофакторная аутентификация. Если пароль скомпрометирован, вся цепочка доверия находится под угрозой. В этой статье разберём, как можно усилить Kerberos с помощью второго фактора и как это реализовано в связке MULTIDIRECTORY и MULTIFACTOR.

https://habr.com/ru/companies/multifactor/articles/1027480/

#multidirectory #multifactor #kerberos #2fa #2faаутентификация #служба_каталогов #мультифактор

Интеграция MULTIDIRECTORY и MULTIFACTOR: двухфакторная аутентификация в Kerberos

Kerberos — один из тех протоколов, которые в инфраструктуре работают «тихо». Пользователь вошёл в систему один раз, и дальше всё открывается без лишних вопросов. За этим удобством стоит строгая модель доверия, построенная вокруг KDC и тикетов. Но есть нюанс: классический Kerberos — это по сути однофакторная аутентификация. Если пароль скомпрометирован, вся цепочка доверия находится под угрозой. В этой статье разберём, как можно усилить Kerberos с помощью второго фактора и как это реализовано в связке MULTIDIRECTORY и MULTIFACTOR.

https://habr.com/ru/companies/multifactor/articles/1027480/

#multidirectory #multifactor #kerberos #2fa #2faаутентификация #служба_каталогов #мультифактор

@abbra and I released version 0.1.0 of the Kirmes LocalKDC today.

https://gitlab.com/kirmes/localkdc/-/releases/0.1.0

Wait, what are we needing a KDC for which only runs locally? Well, you want the details, I suggest to watch our talk at https://sambaxp.org/ next Monday (or wait till it is online).

It uses systemd-userdb via libkirmes (written in rust) and implements KDB modules for MIT Kerberos also written in Rust (kurbu5)!

#kerberos #rust #rustlang #systemd

Особенность настройки аутентификации 1С через веб-сервер расположенный на Linux

В сети достаточно информации о настройке аутентификации 1С при публикации базы на веб‑сервере. Наиболее полная из найденных расположена по адресу https://infostart.ru/1c/articles/2440678 Информация в комментариях к статье достойна ознакомления. Однако для сценария когда: Подробнее...

https://habr.com/ru/articles/1019054/

#1с #kerberos #аутентификация #вебсервер #сервер_приложений

Никаких эксплойтов и zero-day: как эксплуатация безобидных настроек Асtive Directory приводит к компрометации домена

Привет, Хабр! На связи Дмитрий Неверов, технический консультант направления тестирования внутренней инфраструктуры команды Бастиона и автор книги «Идём по киберследу» . Пентестер зачастую воспринимается как «белый маг хакер», которому дай только возможность запустить пару эксплойтов и поэксплуатировать zero-day. Однако наш опыт подсказывает, что самые неприметные и «безобидные» настройки Active Directory могут нести не меньшую опасность в руках умелого взломщика. В этой статье я расскажу о трех интересных пентестах, выполненных нашей командой. Во всех этих кейсах использовалась моя базовая методология пентеста, которая несколько отличается от классического подхода, и применялись только этичные приемы. Итак, поехали!

https://habr.com/ru/companies/bastion/articles/1012354/

#active_directory #Red_Team #пентест #информационная_безопасность #тестирование_на_проникновение #Kerberos #AD #компрометация_домена

Типичные ошибки настройки Active Directory

Всем привет! На связи Карпенко Савелий, специалист по тестированию на проникновение из группы по борьбе с уязвимостями в компании ТехВилл. В рамках нашей работы мы регулярно тестируем Active Directory (AD). Это центральный сервис аутентификации и управления доступом во многих корпоративных сетях. С практической точки зрения ошибки в конфигурациях AD часто становятся главной причиной взлома, среди проблемных аспектов можно назвать неверное назначение прав, доступов и использование устаревших механизмов аутентификации. Наличие недостатков в конфигурациях даёт атакующему возможность последовательно поднимать уровень своих привилегий. Ниже собраны типовые ошибки конфигурации, которые чаще всего встречаются на проектах, и показано, как они складываются в цепочки компрометации. На практике аудит и тестирование обычно начинаются с исходных учетных данных, которые предоставляет заказчик. Если их нет, проникновение в инфраструктуру часто происходит через внешние веб-сервисы и ошибки на периметре (утечки паролей, небезопасные публикации, уязвимости бизнес-приложений). В российской практике одним из наиболее частых векторов для входа считается инфраструктура 1С, из-за повсеместного использования и различного уровня поддержки здесь чаще встречаются и слабые настройки, и типовые уязвимости.

https://habr.com/ru/companies/vkusvill/articles/1010812/

#вкусвилл #active_directory #тестирование #kerberos #windows #pentest

Today's fun discovery:
* if you set the `+needchange` flag on a user's #Kerberos principal, the command-line utilities all do the right thing
* in my experience, the same is true of `pam_krb5` when it's configured to be first in the authentication stack
* but if you also have pam_duo configured, it will fight with pam_krb5 and both will fail, locking the user out rather than allowing them to change their password

I haven't figured out how to test this with another 2fa module yet.

Got some progress with protocol transition in #OpenSSH: if you login with any authentication mechanism that does not lead to creation of #Kerberos tickets, now you can configure your server to generate one on the user's behalf. This uses Services For User (S4U) extensions available in Active Directory and #FreeIPA implementations. There are few issues we still trying to address (and bugs found during this development) but it looks promising.

Couple demos in the next toots:

PSA for #Qutebrowser users (#Qt6 #Webengine based): we need to use this option to enable #kerberos support in `~/.config/qutebrowser/autoconfig.yaml` (for example, if you're a @fedora package maintainer and don't want to have to keep re-logging into Fedora websites):

```
qt.args:
global:
- auth-server-allowlist=*<domain>
```

Used to be `auth-server-whitelist` but changed at some point.

Reference: https://github.com/qutebrowser/qutebrowser/issues/8313

#FOSS #OpenSource

Problemy NTLM: drugie starcie. Wymuszenie uwierzytelnienia NTLM

Wstęp W poprzednim artykule poświęconym NTLM, rozebraliśmy na czynniki pierwsze podstawowe pojęcia: czym jest NetNTLM a czym hash NT, jak można przeprowadzić ataki polegające na przechwyceniu challenge NetNTLM  oraz na czym polegają podatności typu relay.   Jeżeli powyższe pojęcia nie są dla Ciebie zrozumiałe, to przed przystąpieniem do dalszej lektury, koniecznie...

#Aktualności #Teksty #ActiveDirectory #Coercion #Kerberos #Ntlm #Windows

https://sekurak.pl/problemy-ntlm-drugie-starcie-wymuszenie-uwierzytelnienia-ntlm/

Sneak peak for tomorrow's talk: #WebIDAMd providing an #OAuth token to neomutt for it to do single sign-on against an IMAP and SMTP server! OIDC slowly replacing #Kerberos on #Linux clients ;).

https://asciinema.org/a/814075

New 𝗙𝗿𝗲𝗲𝗕𝗦𝗗 𝗠𝗜𝗧 𝗞𝗲𝗿𝗯𝗲𝗿𝗼𝘀 𝗦𝗲𝗿𝘃𝗲𝗿 (FreeBSD MIT Kerberos Server) article on vermaden.wordpress.com blog.

https://vermaden.wordpress.com/2026/02/22/freebsd-mit-kerberos-server/

#verblog #freebsd #mit #kerberos #dns #nsd

@vermaden has shared an insightful article about 𝗡𝗮𝘁𝗶𝘃𝗲 𝗙𝗿𝗲𝗲𝗕𝗦𝗗 𝗞𝗲𝗿𝗯𝗲𝗿𝗼𝘀/𝗟𝗗𝗔𝗣 𝘄𝗶𝘁𝗵 𝗙𝗿𝗲𝗲𝗜𝗣𝗔/𝗜𝗗𝗠

Go read learn

#Kerberos #freeBSD #BSD #programming #technology #networking #LDAP #FreeIPA #IDM #reading

https://vermaden.wordpress.com/2026/02/18/native-freebsd-kerberos-ldap-with-freeipa-idm/

New 𝗡𝗮𝘁𝗶𝘃𝗲 𝗙𝗿𝗲𝗲𝗕𝗦𝗗 𝗞𝗲𝗿𝗯𝗲𝗿𝗼𝘀/𝗟𝗗𝗔𝗣 𝘄𝗶𝘁𝗵 𝗙𝗿𝗲𝗲𝗜𝗣𝗔/𝗜𝗗𝗠 article based on @Larvitz work - credit goes to him.

https://vermaden.wordpress.com/2026/02/18/native-freebsd-kerberos-ldap-with-freeipa-idm/

#verblog #freebsd #kerberos #idm #freeipa #ssh

Kerberos zastąpi NTLM w najnowszych systemach Windows. Jak się przygotować?

Już od dawna panuje przekonanie,To już ponad 30 lat, odkąd Microsoft wprowadził protokół NTLM (New Technology LAN Manager) służący do uwierzytelniania użytkowników w systemach Windows. I choć nadal cieszy się on dużą popularnością (nawet w najnowszych wersjach systemów Windows spotkamy ten mechanizm uwierzytelnienia) to zdaje się, że jego dni zostały...

#WBiegu #Kerberos #Microsoft #Ntlm #Windows

https://sekurak.pl/kerberos-zastapi-ntlm-w-najnowszych-systemach-windows-jak-sie-przygotowac/

https://winbuzzer.com/2026/02/02/microsoft-disable-ntlm-default-windows-kerberos-xcxwbn/

Microsoft to Disable NTLM Protocol by Default in Future Windows Releases

#Microsoft #WindowsServer #Windows11 #Windows #OperatingSystems #NTLM #Kerberos #Authentication #Security #Cybersecurity #SecurityFlaws #SecurityThreats

Detection of Kerberos Golden Ticket Attacks via Velociraptor: https://detect.fyi/detection-of-kerberos-golden-ticket-attacks-via-velociraptor-cfe7cc26d3eb

#kerberos #velociraptor #goldenticket

If you have a third-party device that doesn't support AES-SHA1, reach out to [email protected] with information about the device and scenario.

🔗 https://learn.microsoft.com/en-us/windows-server/security/kerberos/detect-remediate-rc4-kerberos#:~:text=If%20you%20have%20a%20third%2Dparty%20device%20that%20doesn%27t%20support%20AES%2DSHA1%2C%20reach%20out%20to%20stillneedrc4@microsoft%2Ecom%20with%20information%20about%20the%20device%20and%20scenario%2E

#RC4 #AES #Kerberos #SessionTicket #TGT

Как не внимательная установка безобидного ПО, может привести к компрометации всего домена

В этой статье речь пойдет об интересном кейсе захвата компании во время проекта по пентесту. Подробно разберем причины пробелов в безопасности и как предотвращать такие проблемы в будущем. Будет много практики по Active Directory, RBCD, PostgresSQL и реальных инструментов, которые используются современными специалистами по проникновению.

https://habr.com/ru/companies/hex_team/articles/988008/

#redteam #pentest #activedirectory #windows #kerberos #rce #rbcd #ldap #privelege_escalation #цифровая_гигиена

#Microsoft startet mit Identifizierung von unsicherer #RC4-Verschlüsselung | Security https://www.heise.de/news/Microsoft-startet-mit-Identifizierung-von-unsicherer-RC4-Verschluesselung-11145332.html #Kerberos #patchday

Yay!

I got SmartCard authentication with PKINIT/Kerberos working in my home-network/home-lab 🙂

RSA key safely stored on the smartcard, getting a ticket granting ticket (TGT) from the KDC and then authenticating to an SSH host via GSSAPI/Kerberos..

Total overkill for a home-lab? Absolutely! But it's always amazing to learn something new and to have hands-on experience.

Client: Fedora 43 KDE Edition
KRB Realm: FreeIPA on Fedora Server

Remote-Server: FreeBSD 15.0-RELEASE machine (krb5 enrolled).

#linux #smartcard #authentication #ssh #gssapi #kerberos #crypto #freebsd

#Microsoft will unsichere #RC4-#Verschlüsselung loswerden | Security https://www.heise.de/news/Microsoft-fegt-RC4-Reste-in-Kerberos-aus-11117992.html #encryption #Kerberos

Отражающий Kerberos

Всем привет. Решил написать об относительно новой и достаточно нашумевшей уязвимости, а именно CVE-2025-33073 , получившей от исследователей неофициальное название The Reflective Kerberos Relay Attack . От коллег в сообществе доводилось слышать, что это ни много ни мало "новый ms17-010", поэтому захотелось разобрать эту уязвимость, что называется, in the wild. Сразу оговорюсь, в данной статье не буду рассматривать глубокую теорию и погружаться в то, что вы можете самостоятельно узнать из первоисточников. Впервые я услышал об этой уязвимости от исследователей из Synacktiv , также подробно и интересно о ней можно почитать по ссылке . Я же постараюсь описать именно практическое применение, эксплуатацию и возникающие у меня при этом проблемы. Естественно, эта статья носит исключительно образовательный и ознакомительный характер, все действия следует воспроизводить в изолированной среде или с согласия заказчика.

https://habr.com/ru/articles/972460/

#pentest #kerberos #relay #smb #cve #dns

Kerberos: атакуем трехголового пса

На сегодняшний день Active Direvtory является неотъемлемой частью функционирования любой корпоративной сети под управлением Windows. Протокол Kerberos используется в инфраструктуре Active Directory (AD) для аутентификации пользователей и сервисов. В этой статье мы поговорим о том, как работает этот протокол, и рассмотрим типовые атаки на него.

https://habr.com/ru/companies/otus/articles/967236/

#пентест #activedirectory #ntlm #Kerberos #Аутентификация #уязвимости #KDC #Атаки_на_инфраструктуру

«Политика открытых дверей»: как один скрипт обрушил защиту домена

Всем привет! На связи Дмитрий Неверов, руководитель направления тестирования на проникновение в Бастионе. Мы профессионально ломаем системы безопасности компаний. Разумеется, с разрешения их владельцев. Расскажу кейс, за который я получил ачивку «Фаворит года по версии жюри» Pentest Awards 2025. Представьте: крупная инфраструктурная компания с регулярными пентестами, серьезным бюджетом на ИБ и жесткими регуляторными требованиями. Казалось бы, что тут можно сломать? А мы взяли и получили права доменного администратора, начав путь с непривилегированной учетки сотрудника. И никаких бэкдоров или zero-day, только чистая работа с Active Directory. Самое интересное — как несколько на первый взгляд безобидных настроек превратились в билет к полному контролю над доменом. Сейчас покажу всю цепочку от начала и до победного DCSync. Читать далее ⟶

https://habr.com/ru/companies/bastion/articles/948758/

#пентест #атаки_на_Active_Directory #эскалация_привилегий #тестирование_на_проникновение #кибербезопасность #уязвимости_Active_Directory #pre2k #Pass_the_Ticket #kerberos #privilege_escalation

Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче

Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности : клиент Windows Server 2025 уже требует подпись SMB-пакетов . Всё, что не умеет — идёт мимо кассы. В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения. Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет . Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт .

https://habr.com/ru/articles/948976/

#windows_server_2025 #active_directory #SMB_signing #LDAP_signing #kerberos #ntlm #AD_CS #laps #credential_guard #lsass

Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче

Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности : клиент Windows Server 2025 уже требует подпись SMB-пакетов . Всё, что не умеет — идёт мимо кассы. В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения. Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет . Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт .

https://habr.com/ru/articles/948976/

#windows_server_2025 #active_directory #SMB_signing #LDAP_signing #kerberos #ntlm #AD_CS #laps #credential_guard #lsass

Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче

Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности : клиент Windows Server 2025 уже требует подпись SMB-пакетов . Всё, что не умеет — идёт мимо кассы. В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения. Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет . Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт .

https://habr.com/ru/articles/948976/

#windows_server_2025 #active_directory #SMB_signing #LDAP_signing #kerberos #ntlm #AD_CS #laps #credential_guard #lsass

Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче

Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности : клиент Windows Server 2025 уже требует подпись SMB-пакетов . Всё, что не умеет — идёт мимо кассы. В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения. Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет . Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт .

https://habr.com/ru/articles/948976/

#windows_server_2025 #active_directory #SMB_signing #LDAP_signing #kerberos #ntlm #AD_CS #laps #credential_guard #lsass

2FA ALD Pro. Авторизация пользователей по сертификатам в домене

Внедрение двухфакторной аутентификации (2FA) часто воспринимается как сложная и ресурсоемкая задача, особенно в гетерогенных средах. Многие хотят повысить безопасность, используя имеющиеся средства, но не знают, с какой стороны подойти к реализации. В этой статье я подробно разберу, как настроить двухфакторную аутентификацию с помощью сертификатов на токенах Рутокен для пользователей как родного домена ALD Pro, так и доверенного домена Microsoft Active Directory. Мы пройдем весь путь от инициализации токена и генерации ключей до настройки клиентов Astra Linux Special Edition (ALSE) и получения заветного окна ввода PIN-кода при входе в систему. Это руководство формата HowTo призвано развеять миф о сложности 2FA и показать, что данный механизм в связке с отечественными решениями готов к работе уже сегодня.

https://habr.com/ru/articles/945374/

#2faаутентификация #ald pro #astralinux #ms_ad #kerberos #freeipa #rutoken

Как FreeIPA защищает SSH от MITM-атак

Привет, Хабр! Сегодня мы предлагаем погрузиться во внутреннюю кухню протокола SSH, заострив особое внимание на его интеграции с доменом FreeIPA. Настройка такого взаимодействия будет интересна администраторам, привыкшим к централизованному управлению Windows-серверами и рабочими местами, входящими в состав MS AD. Развитие нашей продуктовой линейки включает глубокий анализ технологического стека, и мы хотим поделиться с читателями результатами своих исследований. Как известно, время — деньги, поэтому инженеры стараются настраивать удаленный доступ везде, где только можно, чтобы ничего не администрировать ногами.

https://habr.com/ru/companies/astralinux/articles/946002/

#ssh #freeipa #ald_pro #mitm #ключи #dh #sshfp #kerberos #sssd #диффихеллман

🔓 Oh, look! Another #cryptography "wizard" from the ivory tower of academia thinks they can save the world by roasting #Kerberos tickets like marshmallows over a campfire 🔥. Matthew Green, emerging from the cryptographic crypt, offers 1,473 words of ego-stroking drivel about his resume while the rest of us wonder if the true #security threat is death by #boredom. 🥱
https://blog.cryptographyengineering.com/2025/09/10/kerberoasting/ #MatthewGreen #ivorytower #HackerNews #ngated

🔓 Oh, look! Another #cryptography "wizard" from the ivory tower of academia thinks they can save the world by roasting #Kerberos tickets like marshmallows over a campfire 🔥. Matthew Green, emerging from the cryptographic crypt, offers 1,473 words of ego-stroking drivel about his resume while the rest of us wonder if the true #security threat is death by #boredom. 🥱
https://blog.cryptographyengineering.com/2025/09/10/kerberoasting/ #MatthewGreen #ivorytower #HackerNews #ngated

🔓 Oh, look! Another #cryptography "wizard" from the ivory tower of academia thinks they can save the world by roasting #Kerberos tickets like marshmallows over a campfire 🔥. Matthew Green, emerging from the cryptographic crypt, offers 1,473 words of ego-stroking drivel about his resume while the rest of us wonder if the true #security threat is death by #boredom. 🥱
https://blog.cryptographyengineering.com/2025/09/10/kerberoasting/ #MatthewGreen #ivorytower #HackerNews #ngated

🔓 Oh, look! Another #cryptography "wizard" from the ivory tower of academia thinks they can save the world by roasting #Kerberos tickets like marshmallows over a campfire 🔥. Matthew Green, emerging from the cryptographic crypt, offers 1,473 words of ego-stroking drivel about his resume while the rest of us wonder if the true #security threat is death by #boredom. 🥱
https://blog.cryptographyengineering.com/2025/09/10/kerberoasting/ #MatthewGreen #ivorytower #HackerNews #ngated

Доверительные отношения ALD Pro <-> SambaDC

В связи с волной импортозамещения и в частности службы каталогов, возникает вопрос их сосуществования в гетерогенной среде и возможности построения доверительных отношений. В данной статье разберем возможности продукта ALD Pro по построение доверительных отношений с SambaDC, и далее проверим возможности модулей миграции и синхронизации, которые позволяют перейти на ALD Pro, и отказаться частично или полностью от других каталогов в инфраструктуре.

https://habr.com/ru/articles/925076/

#ald pro #astralinux #samba #freeipa #доверительные_отношения #kerberos #sssd

[Перевод] Single Sign-On c OpenAM и OpenIG: Практические примеры реализации

Single Sign-On или SSO — технология, которая позволяет пользователям получать доступ к различным приложениям, используя единый сервис аутентификации и одни учетные данные. Такой подход повышает не только удобство пользователей, но и безопасность, так как управление учетными данными, политиками доступа, процессами аутентификации и мониторинг централизованы. В статье мы рассмотрим основные подходы к реализации SSO на примере решений с открытым исходным кодом OpenAM и OpenIG .

https://habr.com/ru/articles/911698/

#SSO #единый_вход #single_signon #OpenAM #OpenIG #federation #kerberos

Policy as Code в Apache Kafka: опыт внедрения Open Policy Agent

Статья рассматривает внедрение Open Policy Agent (OPA) для управления авторизацией в кластерах Apache Kafka на bare metal‑серверах. В рамках статьи проанализированы ограничения стандартных ACL и предложено решение на основе Open Policy Agent (OPA), обеспечивающее декларативное управление доступом через Policy as Code (PaaC). Особое внимание уделено обновлению OPA Kafka Plugin: создан pull request, в котором устранены уязвимости превносимые в OPA библиотекой Guava и реализован переход на более производительную библиотеку Caffeine. Описан процесс интеграции OPA с Kafka, включая автоматизацию доставки политик через Bundle API и S3-хранилище.

https://habr.com/ru/companies/t2/articles/901488/

#apache_kafka #open_policy_agent #opa #kerberos #cicd

Обнаружение атаки Kerberoasting с использованием машинного обучения: от теории к практике

В эпоху стремительного роста угроз информационной безопасности защита корпоративных сетей становится критически важной. Одной из серьезных и довольно распространенных угроз является атака Kerberoasting, которая позволяет злоумышленнику, имеющему лишь базовые привилегии, извлечь хэш пароля сервисной учетной записи. В этой статье описывается, как методы машинного обучения помогают решению класса NTA обнаружить такую атаку в режиме реального времени. Дополнительно приводятся подробности реализации прототипа, экспериментальные результаты и ссылка на исходный код, опубликованный на GitHub.

https://habr.com/ru/articles/894216/

#kerberoasting #machine_learning #oneclass_svm #lof #kerberos