Argo Workflows是一个开源的容器本机工作流引擎,用于在Kubernetes上协调并行作业。Argo Workflows通过Kubernetes CRD(自定义资源定义)实现。
上个月,Kubernetes(世界上最受欢迎的容器编排器)生态系统因发现Kubernetes的第一个主要安全漏洞而动摇。该漏洞(CVE-2018-1002105)使攻击者能够通过Kubernetes API服务器破坏集群,允许他们运行代码来安装恶意软件等恶意活动。
Preempt的研究人员发现了如何在NTLM身份验证上绕过MIC(Message Integrity Code)保护措施并修改NTLM消息流中的任何字段(包括签名)。该种绕过方式允许攻击者将已经协商签名的身份验证尝试中继到另外一台服务器,同时完全删除签名要求。所有不执行签名的服务器都容易受到攻击。 这个漏洞其实就是可以绕过NTLM MIC的防护,也是NTLM_RELAY漏洞。攻击者利用该漏洞可以绕过NTLM中的MIC(Message Integrity Code)。攻击者可以修改已经协商签名的身份验证流量,然后中继到另外一台服务器,同时完全删除签名要求。通过该攻击方式可使攻击者在仅有一个普通域账号的情况下,运程控制域中任意机器(包括域控服务器)。
所有的 kubernetes 集群中账户分为两类,Kubernetes 管理的 serviceaccount(服务账户) 和 useraccount(用户账户)。基于角色的访问控制(“RBAC”)使用“rbac.authorization.k8s.io”API 组来实现授权控制,允许管理员通过Kubernetes API动态配置策略。
虽然 Azure 在某些方面利用 Azure Active Directory,但 Azure AD 角色通常不会直接影响 Azure(或 Azure RBAC)。本文详细介绍了一个已知配置(至少对于那些深入研究过 Azure AD 配置选项的人来说),Azure Active Directory 中的全局管理员(又名公司管理员)可以通过租户选项获得对 Azure 的控制权。这是“按设计”作为“打破玻璃”(紧急)选项,可用于(重新)获得 Azure 管理员权限,如果此类访问权限丢失。 在这篇文章中,我探讨了与此选项相关的危险,它当前是如何配置的(截至 2020 年 5 月)。 这里的关键要点是,如果您不仔细保护和控制全局管理员角色成员资格和关联帐户,您可能会失去对所有 Azure 订阅中托管的系统以及 Office 365 服务数据的积极控制。 注意: 围绕此问题的大部分研究是在 2019 年 8 月至 2019 年 12 月期间进行的,自那时以来,Microsoft 可能已经在功能和/或能力方面进行了更改。
最佳实践: 用户可以指定一个retryStrategy来指示如何在工作流中重试失败或错误的步骤。提供一个空的retryStrategy(即retryStrategy: {})将导致容器重试直到完成并最终导致 OOM 问题。
Kerberos黄金票据是有效的TGT Kerberos票据,因为它是由域Kerberos帐户(KRBTGT)加密和签名的。TGT仅用于向域控制器上的KDC服务证明用户已被其他域控制器认证。TGT被KRBTGT密码散列加密并且可以被域中的任何KDC服务解密的。
Active Directory 的早期阶段,企业常常在用户可能登录的每个站点均部署域控制器。例如,银行通常在每个支行都安装 DC。其中的逻辑是每个支行的用户都能登录并访问本地网络资源,即使 WAN 失效也能如此。本文是《Active Directory教程》的第三篇,讲述了Windows Server 2008 只读域控制器。
作者:天融信阿尔法实验室一、漏洞概述2019年6月,Microsoft发布了一条安全更新。该更新针对CVE-2019-1040漏洞进行修复。此次漏洞,攻击者可以通过中间人攻击,绕过NTLM MIC(消息完整性检查)保护,将身份验证流量中继到目标服务器。通过这种攻击使得攻击者在仅有一个普通域账号的情况下可以远程控制 Windows 域内的任何机器,包括域控服
介绍 一开始,规划数据湖似乎是一项艰巨的任务——决定如何最好地构建数据湖、选择哪种文件格式、是拥有多个数据湖还是只有一个数据湖、如何保护和管理数据湖。并非所有这些都需要在第一天回答,有些可能通过反复试验来确定。构建数据湖没有明确的指南,每个场景在摄取、处理、消费和治理方面都是独一无二的。 在之前的博客中,我介绍了数据湖和 Azure 数据湖存储 (ADLS) gen2 的重要性,但本博客旨在为即将踏上数据湖之旅的人提供指导,涵盖构建数据湖的基本概念和注意事项ADLS gen2 上的数据湖。 数据湖规划
与标准用户帐户相比计算机帐户的名称末尾附加了$符号,默认情况下Microsoft操作系统缺乏可以防止许多攻击的安全控制和强化措施,此外多年来已经证明Windows生态系统中许多事物工作方式可以通过利用现有功能和工作流程来实现滥用
企业网络感染恶意软件可能会造成关键信息系统或数据的破坏,直接威胁正常业务的运行。为了应对这样的情况,企业应该提前做好准备,构建恶意软件的检测和响应能力。
授权是任何计算环境的基本安全要求之一。其目标是确保只有适当的人员或流程才能访问,查看,使用,控制或更改特定的资源,服务或数据。在使用各种CDH组件(Hive,HDFS,Impala等)部署来满足特定工作负载的任何集群中,不同的授权机制可以确保只有授权的用户或进程才能根据需要访问数据,系统和其他资源。理想情况下,授权机制可以利用身份验证机制,以便当用户登录系统(例如集群)时,将根据他们在系统中对应用程序,数据和其他资源的授权,对他们进行透明授权。。
Fortify 软件安全研究团队将前沿研究转化为安全情报,为 Fortify 产品组合提供支持,包括 Fortify 静态代码分析器 (SCA) 和 Fortify WebInspect。如今,Fortify 软件安全内容支持 30 种语言的 1,399 个漏洞类别,涵盖超过 100 万个单独的 API。
调查结果(MAC III - 行政敏感) 查找 ID 严重性 标题 描述 V-8534 高的 不同分类级别的 DoD 目录服务之间的互连必须使用经批准可与跨分类信任一起使用的跨域解决方案。 如果不使用强大的跨域解决方案,那么它可能允许未经授权访问机密数据。为了支持不同分类级别的资源之间的安全访问,... V-8536 高的 受控接口必须在 DoD 和非 DoD 系统或网络之间运行的 DoD 信息系统之间具有互连。 AD 信任关系的配置是用于允许一个域中的用户访问另一个域、林或 Kerberos 领域中的资
在内网渗透测试中我们经常会在几个小时内获得域管理权限,而造成这种情况的原因是系统加固不足和使用不安全的Active Directory默认值,在这种情况下公开的利用工具有助于发现和利用这些问题,并经常导致获得域管理权限,本篇博文描述了一个场景,在这个场景中我们的标准攻击方法不起作用,我们必须更深入地挖掘才能获得域中的高权限,我们描述了使用访问控制列表的更高级的权限提升攻击,并介绍了一个名为Invoke-Aclpwn的新工具和一个对ntlmrelayx的扩展,它可以自动执行这种高级攻击的步骤
浏览网络时,几乎可以肯定您会遇到一些使您可以使用社交媒体帐户登录的网站,该功能很可能是使用流行的OAuth 2.0框架构建的,OAuth 2.0对于攻击者来说非常有趣,因为它非常常见,而且天生就容易出现实现错误,这可能导致许多漏洞,从而使攻击者可以获得敏感用户数据,并有可能绕过身份验证。
强制域控制器计算机帐户向受威胁者控制的主机进行身份验证可能会导致域受损。涉及强制身份验证的最值得注意的技术是使用加密文件系统远程协议 ( MS-EFSR )的PetitPotam攻击。然而,这不是唯一可以用于域升级的协议。意识到可能被滥用的替代协议可能会给红队运营商带来优势,因为蓝队可能没有实施策略来防止各种协议的域升级。
一般想知道哪一台是域控知道自己内网的DNS就可以了,一般域控安装都有安装DNS有些不止一台,其次是通过扫描获取开放端口为389机器或者使用NLTEST命令查看。最后就是各种网络查看查看域控是哪台主机
这篇博文是为了解释下Benjamin Delpy(@gentilkiwi)在这条推特上写的东西,看官们且耐住性子。 FreeBuf科普时间 krbtgt账户:每个域控制器都有一个“krbtgt”的用户账户,是KDC的服务账户,用来创建票据授予服务(TGS)加密的密钥。 黄金票据(Golden Ticket):简单来说,它能让黑客在拥有普通域用户权限和krbtgt hash的情况下,获取域管理员权限。 dcsync:mimikatz中的功能,可以有效地“假冒”一个域控制器,并可以向目标域控制器请求帐户密码
在第 3 部分中,我们将研究 ICS 中的远程访问连接,检查它们为何存在,并回顾保护它们的最佳实践。 远程访问最佳实践 远程访问连接对 ICS 的重要性 在互联网出现之前,大多数组织的 ICS/OT 环境是“隔离的”,这意味着它没有与外部网络的连接。因此,网络安全措施并不是 ICS 的主要考虑因素。然而,正如本系列的第一部分所讨论的,必须克服这种思维方式在互联网时代的持续存在,因为 ICS 环境现在更加互联并依赖于实时操作数据。随后,它们已成为威胁团体的高价值目标。 与 ICS 进行远程访问连接的好处是
Windows常见安全事件日志ID汇总 适用于:Windows Server 2016
当机器安装完系统后,会自动创建默认的本地组。通过执行命令net localgroup可以查询出本机上的本地组,如图所示:
转载:http://os.51cto.com/art/201005/202380.htm
在域环境中,如果安装Exchange后,系统会添加一个名为Microsoft Exchange Security Groups、Exchange Trusted Subsystem和Exchange Windows Permission三个组。如果获得了这三个组内任意用户的控制权限,就能够继承用户组的WriteDACL权限,WriteDACL权限可以修改域对象的ACL,最终实现利用DCSync导出域内所有用户hash,实现权限提升的目的。
在云中确保身份和数据的安全对于很多组织来说是一种挑战,但是最低权限的访问方法会有所帮助。
发现其存在5985端口,如果找到用户的凭据,我可能能够通过 WinRM 获得 shell。
秉持数据驱动战略的数据驱动型组织,正在利用数据,以前所未有的速度开创未来。同时,也面临日益增长的安全、隐私、合规风险。
NATS 2.0是自代码发布以来最大的特性发布。NATS 2.0允许将NATS看作为一种共享实用工具,通过分布式安全、多租户、更大的网络和数据的安全共享大规模地解决问题。
假设攻击者破坏了为约束委派设置的帐户,但没有 SeEnableDelegation 权限。攻击者将无法更改约束 (msDS-AllowedToDelegateTo)。但是,如果攻击者对与目标 SPN 关联的帐户以及另一台计算机/服务帐户拥有 WriteSPN 权限,则攻击者可以临时劫持 SPN(一种称为 SPN 劫持的技术),将其分配给另一台计算机/服务器,并执行完整的 S4U 攻击以破坏它。
在本系列的前一篇博客“将流转化为数据产品”中,我们谈到了减少数据生成/摄取之间的延迟以及从这些数据中产生分析结果和洞察力的日益增长的需求。我们讨论了如何使用带有 Apache Kafka 和 Apache Flink 的Cloudera 流处理(CSP) 来实时和大规模地处理这些数据。在这篇博客中,我们将展示一个真实的例子来说明如何做到这一点,看看我们如何使用 CSP 来执行实时欺诈检测。
流处理作为一个一直很活跃的研究领域已有 20 多年的历史,但由于学术界和全球众多开源社区最近共同且成功的努力,它当前正处于黄金时期。本文的内容包含三个方面。首先,我们将回顾和指出过去的一些值得关注的但却很大程度上被忽略了的研究发现。其次,我们试图去着重强调一下早期(00-10)和现代(11-18)流系统之间的差异,以及这些系统多年来的发展历程。最重要的是,我们希望将数据库社区的注意力转向到最新的趋势:流系统不再仅用于处理经典的流处理工作负载,即窗口聚合和联接。取而代之的是,现代流处理系统正越来越多地用于以可伸缩的方式部署通用事件驱动的应用程序,从而挑战了现有流处理系统的设计决策,体系结构和预期用途。
在本系列的前一篇博客《将流转化为数据产品》中,我们谈到了减少数据生成/摄取之间的延迟以及从这些数据中产生分析结果和洞察力的日益增长的需求。我们讨论了如何使用带有 Apache Kafka 和 Apache Flink 的Cloudera 流处理(CSA) 来实时和大规模地处理这些数据。在这篇博客中,我们将展示一个真实的例子来说明如何做到这一点,看看我们如何使用 CSP 来执行实时欺诈检测。
最近在熟悉公司内部的埋点采集,发现数据架构最后是存放到apache pinot库的,因为之前从来没见过,所以有了本文的学习文档。
Kubernetes 是一个可移植、可扩展的开源平台,用于管理容器化的工作负载和服务,可促进声明式配置和自动化。 Kubernetes 拥有一个庞大且快速增长的生态,其服务、支持和工具的使用范围相当广泛。
SQL Server 支持两种身份验证模式,即Windows 身份验证模式和混合模式。
使用crackmapexec检查是否可以使用 Evil-WinRM连接,发现可以通过该工具获取shell。
在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。从1.6版本起,Kubernetes 默认启用RBAC访问控制策略。从1.8开始,RBAC已作为稳定的功能。通过设置–authorization-mode=RBAC,启用RABC。在RABC API中,通过如下的步骤进行授权:1)定义角色:在定义角色时会指定此角色对于资源的访问控制的规则;2)绑定角色:将主体与角色进行绑定,对用户进行访问授权。
编者按:近年来,软件定义网络(SDN)如同海藻一样疯狂地席卷全球。但火热的SDN真的安全吗?Gartner分析师Neil MacDonald表示“SDN创建了一个抽象层,这将带来很多新的攻击面,例如OpenFlow协议、供应商API等”。为解决这难题,一种新型的安全模型软件定义边界(Software Defined Perimeter)诞生了,国际云安全联盟(CSA)表示“SDP被设计为与软件定义网络(SDN)高度互补”。
Windows 凭据管理是操作系统从服务或用户接收凭据并保护该信息以供将来向身份验证目标呈现的过程。对于加入域的计算机,身份验证目标是域控制器。身份验证中使用的凭据是将用户身份与某种形式的真实性证明(例如证书、密码或 PIN)相关联的数字文档。
当2021年容器化 云原生炙手可热时代, 但凡想在云市场分一杯羹的云厂商,K8S已经成为所有云厂商重要的ALL in 项目之一。如果在2016年的时候 你是否还对Kubernetes 这么重要 是否swarm更加优秀,当时我研发老板对我说的,这个东西没有什么用,你好好做DBA 做好运维就可以的时候。我已经敏锐感知到运维时代在变化 。
企业IT管理人员要如何才能带来对于公共云服务的使用的秩序和问责制,同时又不影响进程的处理呢?每一种技术的成功故事也是一个后果意想不到的故事。例如,采取虚拟化技术。虚拟化技术的采用给了我们带来了前所未有的硬件资源的利用率。其使得过去需要几个月的配置的过程现在仅仅只需要几分钟。其给我们带来了曾经无法想象的灵活性和速度,形成了在今天已经如此盛行的公共云和私有云平台的核心基础。 每一种技术的成功故事也是一个后果意想不到的故事。例如,采取虚拟化技术。虚拟化技术的采用给了我们带来了前所未有的硬件资源的利用率。其使得过去
问题 企业环境中计算机上本地帐户的真正问题是“本地”一词用词不当。如果网络上的 50 台计算机的本地管理员帐户为“Administrator”,密码为“P@55w0rd1!”,首先这是一个可怕的密码。其次,更重要的是,如果其中一台计算机受到威胁,它们都将受到威胁。Windows 非常有帮助。非常有用,如果您将本地管理员凭据传递给具有相同本地凭据的另一台计算机,则授予访问权限,就像您使用目标系统凭据登录一样。将管理员凭据转储到一个以获取所有管理员!缓解此问题的最佳方法是确保每台计算机都有一个不同的本地管理员帐户密码,该密码长、复杂且随机,并且会定期更改。
0 操作成功完成。 1 函数不正确。 2 系统找不到指定的文件。 3 系统找不到指定的路径。 4 系统无法打开文件。 5 拒绝访问。 6 句柄无效。 7 存储控制块被损坏。 8 存储空间不足,无法处理此命令。 9 存储控制块地址无效。 10 环境不正确。 11 试图加载格式不正确的程序。 12 访问码无效。 13 数据无效。 14 存储空间不足,无法完成此操作。 15 系统找不到指定的驱动器。 16 无法删除目录。 17 系统无法将文件移到不同的驱动器。 18 没有更多文件。 19 介质受写入保护。 20
青铜位漏洞已被开发为的延伸Impacket从在好乡亲框架SecureAuth。一个拉请求目前正在等待新开发的功能合并。Impacket内有很多强大的功能,但是我们对getST.py程序感兴趣。让我们首先回顾一下没有利用漏洞的程序功能。在第4步,我们将从上方跳入攻击路径。假设我们已经获得了Service1的哈希值,Service1与Service2具有受限的委托信任关系,并且我们试图以目标用户身份获得对Service2的访问权限。
近期,Unit 42的研究人员在Google Workspace的全域委派功能中发现了一个关键安全问题,攻击者将能够利用该安全问题从Google Cloud Platform(GCP)中获取Google Workspace域数据的访问权。
k8s系统在设计是遵循c-s架构的,也就是我们图中apiserver与其余组件的交互。在生产中通常会有多个Master以实现K8s系统服务高可用。K8s集群至少有一个工作节点,节点上运行 K8s 所管理的容器化应用。
领取专属 10元无门槛券
手把手带您无忧上云