я сделал аудит Active Directory... и нашел НЕЧТО
Вставка
- Опубліковано 1 лип 2024
- Привет, друзья. Это видео предназначено для ведущих специалистов в области информационных технологий, ИТ-менеджеров, системных администраторов, а также всех, кто интересуется процессом ИТ-аудита и стремится улучшить эффективность и безопасность своей ИТ-инфраструктуры. В этой серии видео я покажу вам, как я провожу ИТ-аудит, начиная с определения области аудита и заканчивая реализацией конкретных действий для оптимизации ИТ-системы.
Мы начнем с основ - что именно входит в область аудита, и через какие этапы нам предстоит пройти. Я поделюсь с вами своими методиками и подходами к аудиту, которые помогут выявить потенциальные угрозы и уязвимости, а также определить пути их устранения. Вместе мы посмотрим на реальные примеры и ситуации, с которыми я сталкивался в своей практике, и обсудим, как применить полученные знания на практике в вашей собственной ИТ-среде.
Я надеюсь, что мои советы и рекомендации помогут вам в вашей работе и станут полезным инструментом для достижения лучших результатов.
Timecodes:
0:00 - Intro
0:23 - Ищем контроллеры доменов и FSMO роли
1:13 - Заходим на первый контроллер домена а там...
2:35 - Заходим на второй контроллер домена и смотрим дерево
3:23 - Анализируем сайты и сервисы
3:53 - Анализируем DNS
5:55 - Анализируем групповые политики
8:56 - Анализируем конфигурацию сетевого адаптера
9:22 - Задача для админа
9:36 - Выгружаем пользователей в CSV через Powershell и анализируем
Patreon: patreon.com/user?u=72765580
Boosty: boosty.to/sergei_idiiatov
Website: idiyatov.pro
Telegram chat: t.me/itdoc112
Приятного просмотра! - Наука та технологія
Спасибо.🎉
Спасибо за видео. Очень информативно
Рад что понравилось :) Какую тему хотите увидеть еще?
@@Sergey-Idiyatov Вообще интересно было бы создать плейлист и в него добавлять видео - по типу путь с 0. И в каждом видео все больше и больше рассматривать разных задач с повышением сложности.
ну по AD слишком много не наснимаешь) но вот, например, развертывание инфраструктуры целиком с Exchange, FS, CA и тд... make sense
Можно кстати это поделать на стримах
Очень ждём видео про информационную безопасность! Расскажешь?
Да, будет в виде одного из блоков ролика про инфраструктуру в целом)
здравствуйте)не планируете разобрать вакансию какую нибудь всратую на админа!)
да я давно хочу стрим сделать, но чувствую не соберу аудиторию)
Я думаю я ответил)
Такая рекомендация была необходима для доменов NT4 и Windows 2000. Если по какой-то причине меняется IP адрес на контроллере, то остальные контроллеры об этом не знают и обращаются за репликами по старому IP. В доменах Windows 2003, 2008 эта проблема была устранена. Контроллер домена будет регить свой новый IP и на других указанных dns серверах.
Регить он не будет, он зарегает в одном месте, а потом зона реплицируется вместе с каталогом ad. А вот случись что - будешь выгребать)
И что же с настройкой ДНС не так? Во всех мануалах написано что сначало прописываем соседний, потом свой.
Производитель так не считает :). Можно проверить запустив на любом домен контроллере BPA, например, или посмотреть на technet.
@@Sergey-Idiyatov холивары на эту тему не прекращаются уже не один десяток лет.
есть мнение, что сначала нужно опрашивать соседний, чтоб на локальном записи обновлялись. особенно это рекомендуется делать на резервных контроллерах. это немного противоречит логике, как может показаться, но на самом деле клиент может поменять свой адрес на ближайшем сервере и это будет не твой.
в общем, кросс-кверинг имеет свою логику и лучше подходит для сетей, где высокая динамика.
а вообще, неправильная настройка днс - это примерно половина "успеха" в Аду))
@@Sergey-Idiyatov BPA как раз говорит 1й соседний а 2й локалхост
@@user-sk3by2jc9v сходи проверь)
Про Forwarders в DNS-сервере хотелось бы услышать. Почему же всё таки это ужасно ?
Потому что как только ты настроил форвардеры - ты больше не управляешь процессом разрешения самостоятельно. У тебя есть функционирующий DNS, а он просто пересылает запросы Forwarder'у. Форвардер недоступен - внешние записи не разрешаются (а у тебя есть все, чтобы их разрешать самостоятельно!). Ты поменял во внешней зоне DNS запись, а чтобы ее увидеть у своих клиентов тебе больше не достаточно сбросить кэш на DNS сервере и клиенте - тебе надо ждать, пока он истечет на форвардере твоем (которым ты не управляешь). И это касается не только записей, но и если ты делегировал домен на другие NS-серверы, например, тоже (потому что это по сути тоже изменение записей, но только записей типа NS)
Основной ДНС сервер - это тот, на который ты обращаешься в первую очередь. Резервный опрашивается в случае, если основной не доступен.
Зачем спрашивать у соседа правильный ответ на вопрос, если ты его знаешь сам? Какая то вообще не обоснованная нагрузка. А вот уже если твой DNS-сервер упал, тогда можешь и к соседу сходить, он подскажет.
Я вот только не понимаю, почему на КД, когда указан свой адрес, он написан через 192.168.... , а не 127.0.0.1
Ну это как я понимаю)
Все верно ты говоришь, но народ не устает делать такие ошибки :)
И да, использовать надо именно реальный сетевой адрес своего сетевого адаптера, а не loopback. Так у тебя DC начнет авторизовываться и регать свои записи только после того как поднялась сеть и DC. Иначе могут быть проблемы с нахождением партнеров по репликации. Подробнее: learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff807362(v=ws.10)?redirectedfrom=MSDN#impact
> Зачем спрашивать у соседа правильный ответ на вопрос, если ты его знаешь сам?
потому что не факт, что твой ответ правильный))
так делают в сетях, где очень много динамических клиентов. днс-записи на мастере обновляются точечно путём запроса/сравнения со слейвом в больших распределённых сетях.
если у тебя новые клиенты приходят-уходят несколько раз в минуту, то будет немного накладно реплицировать так часто весь днс-сервер. для этого мастер всегда сначала запрашивает слейва и если там запись более свежая, то он обновляет её у себя.
ну а вообще, всё это строго индивидуально и нужно проводить исследования, чтоб понять, какая модель тебе подойдёт лучше.
указывать свой адрес первым - это дефолтная отказоустойчивая модель, которая будет работать всегда и подходит всем.
указывать первым соседний адрес нужно только тем, кто хорошо понимает, ЗАЧЕМ он это делает.
Мальчик Саша в it c 14 лет)
Если на обоих поднята роль dns, можно ничего не указывать вообще. ))) На первом нечего на втором первый.)))
Так делать не стоит)
Тебе бы похудеть, уже 2 подбородок торчит ё-маё). Но это, конечно, личное дело каждого.
P/S - Что бы не быть голословным, похудел на 15 кг, просто сидя за компом (то есть с низкой физической активностью). Сейчас добиваю последние 5 килограмм).
20.04.2024
что за волшебная таблетка? :)
@@Sergey-Idiyatov Ну, лично я отказался от сладкого и сахара, мучного, и стал подсчитывать калории (всю еду взвешивал на весах).
В теории, можно есть всё, но соблюдать дефицит калорий, и тогда будешь худеть).
Так же я не пью и не курю, но это база для меня, тут сложностей нет).
Можешь посмотреть информацию на каналах - Ярослав Брин, Freshlife28.
P/s - Раз в неделю могу съесть шаверму, или фастфуд). Чит-мил называется. Но,в начале пути увлекаться не стоит, ибо может случиться зажор, как говорят)).
Так и не рассказал, как надо настраивать адаптеры DNS
Будет видео с рекомендациями в конце аудита :)
Больше похоже на фитнес клуб или на отель, со своими а2 клуб , менеджер , и рецептион, некогда было админу красоту наводить, пока он софт этот дебажил от компании a&a и занимался возвратами и отменами в роли бухгалтера
видимо да 😂
Кто заказчик? Кого аудировали?
Производственная компания в одном из регионов, любезно согласившаяся на этот аудит)
@@Sergey-Idiyatov любезно согласившаяся на распространение К и КТ? ;)
@@Benkyyy именно )