12,5 тыс читали · 7 лет назад
NTP синхронизация времени в домене с помощью групповых политик
Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с FSMO ролью «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким внешним источником времени...
1 неделю назад
Учётка бухгалтера в 2:47 ночи на контроллере домена — и SOC почти проспал
Представьте: DLP молчит, SIEM выдаёт один алерт на аномальное время логина, а в это время атакующий через угнанную учётку четыре дня собирает финансовую отчётность и сливает её на Dropbox. Формально пользователь работает с файлами, доступными по роли. Итог — 40 человеко-часов на реагирование и полный пересмотр модели привилегированного доступа. Это классический пример скомпрометированного инсайдера — одного из трёх типов внутренних угроз, которые стоит различать, если вы хотите их реально детектировать...