EV
Size: a a a
2020 July 22
АП
не ну это нормально, tls1, пудель... все 33 удовольствия
EV
не ну это нормально, tls1, пудель... все 33 удовольствия
сертификат зато зелененький!!!! уииии!
АФ
сертификат зато зелененький!!!! уииии!
ДС
Коллеги, добрый день.
Ещё вопрос в продолжение вчерашней темы. Если на КД видно события вида:
Domain Controller Blocked Audit: Audit NTLM authentication to this domain controller.
Secure Channel name: BUH-03 (это тачка из нашего домена)
User name: ADMINISTRATOR
Domain name: sa.contoso.ru (это дружественный домен)
Workstation name: NULL
Secure Channel type: 2
Это значит кто-то пытается заломиться от них на нашу тачку? Как можно вычислить имя станции или ip?
Ещё вопрос в продолжение вчерашней темы. Если на КД видно события вида:
Domain Controller Blocked Audit: Audit NTLM authentication to this domain controller.
Secure Channel name: BUH-03 (это тачка из нашего домена)
User name: ADMINISTRATOR
Domain name: sa.contoso.ru (это дружественный домен)
Workstation name: NULL
Secure Channel type: 2
Это значит кто-то пытается заломиться от них на нашу тачку? Как можно вычислить имя станции или ip?
АФ
это какой лог? Microsoft-Windows-NTLM ?
АФ
если так, то он имхо не для того. обычный security log надо смотреть
EV
Да, но там думать буду
На том же сервере стоит всякое легаси с https 10-летней давности
Беда пичаль )))
На том же сервере стоит всякое легаси с https 10-летней давности
Беда пичаль )))
АФ
точно беда, у мя тоже есть несколько таких, которых трогать низзя(((
EV
AND MY AXE !!!!
АФ
Да, но там думать буду
На том же сервере стоит всякое легаси с https 10-летней давности
Беда пичаль )))
На том же сервере стоит всякое легаси с https 10-летней давности
Беда пичаль )))
кстати, если вдруг че, то для exch шанель недостаточно обновить, там еще .net https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-tls-guidance-part-2-enabling-tls-1-2-and/ba-p/607761
VG
Кстати, вопрос из зала с того стула, на котором legacy
Есть например 2008R2 или даже 2008 сервер, на нем Exchange 2010
Чтобы заработал нормально TLS 1.2 нужно минимум SP3 RU19, верно?
Exchange Server 2010
Install SP3 RU19 in production today for TLS 1.2 support and be ready to upgrade to SP3 RU20 in production after its release if you need to disable TLS 1.0 and TLS 1.1.
https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-tls-guidance-part-1-getting-ready-for-tls-1-2/ba-p/607649
https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-tls-guidance-part-2-enabling-tls-1-2-and/ba-p/607761
https://jaapwesselius.com/2018/10/05/exchange-2010-and-tls-1-2/
Есть например 2008R2 или даже 2008 сервер, на нем Exchange 2010
Чтобы заработал нормально TLS 1.2 нужно минимум SP3 RU19, верно?
Exchange Server 2010
Install SP3 RU19 in production today for TLS 1.2 support and be ready to upgrade to SP3 RU20 in production after its release if you need to disable TLS 1.0 and TLS 1.1.
https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-tls-guidance-part-1-getting-ready-for-tls-1-2/ba-p/607649
https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-tls-guidance-part-2-enabling-tls-1-2-and/ba-p/607761
https://jaapwesselius.com/2018/10/05/exchange-2010-and-tls-1-2/
Так в приведенных статьях же все написано -на 2008\2008r2 TLS 1.2. надо включать. + какие патчи нужны. Но отключить старые версии, если есть POP\IMAP нельзя
ДС
это какой лог? Microsoft-Windows-NTLM ?
Да. Точно, надо искать в 4625. Правда там почему то не находит по машине, на которую запросы приходят
АФ
что у тебя здесь? auditpol /get /subcategory:"Account Lockout"
АФ
4776 посмотри еще
АФ
в 4635 Source Network Address пустой?
ДС
4776 на кд нет вообще, это же вроде ошибки авторизации по керберосу?
ДС
в 4635 Source Network Address пустой?
Нет, но я именно по машине, на которую идут запросы не могу найти события