PE
Он нормальный админ. Традиционный. Не ведет.
Традиционный админ 😂🤣😂🤣😂🤣
Size: a a a
2019 March 26
VL
Андрей П
Сколько у вас события хранятся? Сделай выгрузку успешных входов данной учётки
И? По-очереди сервера гасить? :(((
VL
Хотя - хотя бы армы отсечь хватит. Спасибо
M
Он нормальный админ. Традиционный. Не ведет.
ахахахахха
PE
Лезть и смотреть, где учетка это есть в пользаках. )))
PE
ахахахахха
Я тоже оценил. )))
M
это шикарно)
M
вообще можно частенько юзать конструкцию:
Он нормальный Х, . Традиционный. Не Y.
Он нормальный Х, . Традиционный. Не Y.
PE
Хотя - хотя бы армы отсечь хватит. Спасибо
А учетку блокирнуть нельзя?
VL
Pavel Efimov
Лезть и смотреть, где учетка это есть в пользаках. )))
🤪 50+ хостов :(( на каждом разные сервисы. Где надо что указывать- отдельное расследование надо. :(
VL
Pavel Efimov
А учетку блокирнуть нельзя?
А что это даст? В теории-можно.
VL
Событие блокировки будет от меня, как от блокирующего.
DO
Структура AD какая? Есть ли в лесу соседние домены? Я такие ситуации встречал когда в соседнем домене хитромудрые админы выставили RDP на нестандартном порту наружу. Типа никто не найдёт. Естественно сразу нашли и начали брутфорсить. Логинами и паролями по списку. RDP просто подставлял все известные ему суффиксы, что приводило к блокировке учёток с такими же именами в соседних доменах. При этом поле workstation естественно было пустое.
VL
Соседние - есть.
VL
А если Коннект по rdp идёт - соурс разве не указывается? Фига себе. Проверим. Это внезапный вариант.
V
для рдп соурс пустой, ага
VL
Блин :( спасибо за идею. Попробую. Про РДП я как-то не подумал, а он есть.
V
тогда тут ещё вопрос, каким образом имя легитимной учетки утекло наружу. по рдп обычны брут идет с перебором и паролей и логинов
VL
Не, это внутренняя история.
VL
Наружи нет.