https://www.cnblogs.com/KevinGeorge/p/8563458.html 一.域控windows安全日志基本操作 1.打开powershell或者cmd 1 #gpedit.msc 打开配置: 关于账户安全性的策略配置在账户配置哪里 2.打开控制面板->系统与安全->事件查看器->windows日志->安全: 希望这里配置的时间足够长久,以便于查看日志 选择筛选器,筛选这一条: 来查看这个是很常用的一个,当然审核成功也很有用,那是你知道那个时间确定被入侵

1,记住最后一次登录用户名 运行 gpedit.msc命令 禁用设置

一  .实现目的:实现两台sqlserver数据库服务器的实时备份及故障转移:即:其中一台数据库服务器宕机后,应用程序可自动连接到另一台数据库服务器继续运行. 二.域控:域控制器是指在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”. 三.搭建域控制器 软件准备: (1)Windows server 2012 DataCenter 系统安装镜像. 硬件准备: (1)域控服务器一台(

本次渗透使用工具: mimikatz,PsExec 本次渗透网络拓扑图: 开始渗透: 上一篇文章中我们讲到我们成功渗透了目标内网中web服务器并提取其管理员明文密码,通过明文密码又成功登陆了内网中的另一台机器(10.0.1.8) 将mimikatz上传到10.0.1.8后运行下列命令进行提权和抓取管理员密码: privilege::debug sekurlsa::logonpasswords 发现域管理员账号曾经登陆过这台机器,如果我们能够抓取到他的密码,那么我们就可以完成登陆域控的任务了 但是

原文地址: http://www.cnblogs.com/lyhabc/p/4678330.html 实验环境: 准备工作 软件准备 (1) SQL Server 2012 (2) Windows Server 2012 R2 DataCenter   64位 (3) VMware-workstation 10.0 操作系统:都是Windows Server 2012 R2   DataCenter  64位(win2012/win2012R2 只有DataCenter 版本才能使用故障转移集群

一个需求: 在域控范围获得访问用户的计算机名.方法: 1．测试软件环境: XAMPP Control Panel V3.2.1 ,  Apache version 2.4.7 2．Apache 2.2 使用 mod_auth_sspi.so 模块,Apache 2.4 以后此模块不再适用,使用mod_authnz_sspi 模块. 二.安装 1．下载mod_authnz_sspi 模块.(x86 for 32bit apache, x64 for 64 bit apche ) Download

原文:https://www.cnblogs.com/Csir/p/6403830.html?utm_source=itdadao&utm_medium=referral 第15章 企业配置sudo命令用户行为日志审计 15.1 生产环境企业日志审计解决方案: 所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析.处理.展示(包括文本或录像) 下面是各种解决方案 l 通过环境变量命令及rsyslog服务进行所有用户的所有操作的全部日志审计(信息太大,不推荐) l sudo配合rs

前言:漏洞复现篇见:https://www.cnblogs.com/huaflwr/p/13697044.html 本文承接上一篇,简单过滤NetLogon漏洞被利用后,域控上的安全及系统日志上可能需要重点关注的事件ID,方便安全运营监控人员值班观察.仅供参考.如果有时间,会出本系列第三篇--原理分析篇(菜鸟一枚,不一定有),结合原理看域控上为何会产生这些特殊事件,会对此漏洞有更加深入的理解.

从0开始搭建SQL Server AlwaysOn 第一篇(配置域控) 第一篇http://www.cnblogs.com/lyhabc/p/4678330.html第二篇http://www.cnblogs.com/lyhabc/p/4682028.html第三篇http://www.cnblogs.com/lyhabc/p/4682986.html第四篇http://www.cnblogs.com/lyhabc/p/6136227.html AlwaysOn是SQL Server2012推出

问题描述 突然收到客户报告,开发人员登录TFS系统时,出现登录异常现象.即使输入了正确的账户和密码,TFS系统任然提示重新登录的页面,导致用户无法打开TFS系统. 即使登录成功,在修改代码或者修改工作项的工程中,系统时而提示"管理员取消了操作". 现象如下图: 处理过程 1. 接到报告后,我们立刻在多个客户端上验证,重现了用户反馈的问题,并确认问题出在TFS系统服务端,而不是个别开发人员计算机的问题. 2. 根据问题现象,迅速排查TFS服务器中的日志和配置信息,发现DNS正常,数据库和

windows server 2012在部署DC方面有了一些改变,不但在操作上有一些改变,而且有了新的DC克隆的功能.本文就先来体验一下如何将一台windows server 2012 RTM服务器提升为域控制器. 前期工作: 先要想好一个符合dns格式的域名,如 feel.com 1,我已经安装好了一台windows server 2012服务器,而且已经配置好了IP.DNS(指向本机IP)等信息.如图. 2,使用本地管理员账户登录,修改计算机名为"DC"(这个可以随意),升级成域控

0 引言 这一篇才真正开始搭建AlwaysOn,前三篇是为搭建AlwaysOn 做准备的. 步骤 1.3 配置AlwaysOn 请先使用本地用户Administrator登录这两个集群节点并执行下面的操作,先不要用域用户DCADMIN登录 1.两个集群节点都需先安装.NET Framework 3.5(在Windows Server 2012 R2中使用添加功能来安装). 2.各个集群节点本地都要准备好相关软件,在各个节点上独立安装SQL Server 2012(不能使用群集方式安装),保证各个

0 准备阶段 1. Windows Server 服务器 3台(其中域控服务器配置可降低一个水准,目前博主试用的是:域控服务器--2核4G 数据库服务器(节点)--4核8G ) 2. SQL Server 数据库(目前博主采用SQL 2016) 注意:在真实生产环境计算机名是需要修改的. 1 开始搭建 步骤1.1:搭建域控服务器 1. 选择确定的域控服务器,修改域控机器名. 2. 配置域控ip,ipv6去掉,因为DNS服务器就安装在域控上,所以首选DNS服务器填写:127.0.0.1 回环地址

0x01 漏洞利用条件 1.被pth攻击的计算机未打补丁(KB2871997)2.拿到一台域成员主机并且拿到管理员组的域用户的NTML 3.对方主机存在相同账号并且是管理员组成员 0x02 本地用户NTML进行PTH攻击 本地用户利用PTH攻击的条件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken 默认设置为0.如果设置为1,则SID为500

漏洞利用 0x01 漏洞利用前提 1.域控没有打MS14-068的补丁(KB3011780) 2.拿下一台加入域的计算机 3.有这台域内计算机的域用户密码和Sid 0x02 工具下载 Ms14-068.exe 下载地址:https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068 PSexec 下载地址:https://github.com/crupper/Forensics-Tool-Wiki/blob/master/win

安装完之后别忘了还需要安装SSMS,这是坑爹的地方之二,干嘛不集成到SQL Server安装包里还要用户自己单独下载 下载地址:https://msdn.microsoft.com/en-us/library/mt238290.aspx?f=255&MSPPError=-2147217396 AlwaysOn是SQL Server2012推出的最新的高可用技术,用以取代原有的SQL Serve镜像 网上的 AlwaysOn可以说是非常的多,也可以说是非常的千篇一律,而且很多都是搭建非常顺利的,没

首先说一下审计日志的处理.审计日志处理的位置,应该是在认证之后,授权之前.因为只有你在认证之后,你才能知道这个请求到底是谁发出来的,谁在做这个事情.在这个授权之前,这样的话那些被拒绝掉的请求.在响应的时候你才可以把他记下来.  日志一定要持久化,可以把它存到数据库里,也可以把它写到文件里. 怎么保证过滤器按照顺序执行的,我们在做流控和认证的过滤器的时候,实际上,并没有指定的顺序.那么现在到底是流控先执行 还是认证先执行? 在流控的Filter RateLimitFilter先打印一个1 Basi

0x00 前言 在之前的文章<导出当前域内所有用户hash的技术整理>曾介绍过通过Volume Shadow Copy实现对ntds.dit文件的复制, 可用来导出域内所有用户hash.本文将尝试做系统总结,总结多种不同的方法. 0x01 简介 本文将要介绍以下内容: 多种实现方法 比较优缺点 0x02 通过Volume Shadow Copy获得域控服务器NTDS.dit文件 测试系统: Server 2008 R2 x64 Server 2012 R2 x64 Volume Shadow

一 AD概述 1.1 AD简介 域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系. 当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输. 域既是 Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在 Windows 网络操作系统中,域是安全边界.域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他

Windows2012R2备用域控搭建 前置操作 域控主域控的主dns:自己的ip,备dns:备域控的ip备域控的主dns:自己的ip,备dns:主域控的ip 客户端主dns:主域控的ip,备dns:备域控的ip 一般说主和备,主要是指担任PDC放置的角色的这台DC,所有修改密码的操作必须由这台DC应答 除了修改密码.域管理.林管理,其他操作(主要是身份验证)都可以随便抓一台DC来完成 DNS是一个列表,在整个林里面同步,除了PDC放置有单独的列表,其它DC一般没有权重 也就是PDC故障,如果不