首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

活动目录管理及维护之系列一备份和灾难恢复

一台域控制器崩溃对于一个网络工程师而言,无疑是一场恶梦,那么活动目录应该如何来备份和恢复呢?在这里我将详细为大家讲一下这个问题,我们一般把活动目录备份和恢复分为授权还原和授权还原。...授权还原(指的是只有一台DC时进行授权还原) 首先通过wbadmin命令行进行备份还原 添加Windows Server Backup功能(必须安装Windows PowerShell工具) 在活动目录中创建一个域帐户...使用命令来备份系统状态(在cmd里面输命令就行): “wbadmin start systemstatebackup -backuptarget:d:” 在活动目录中删除域帐户zhangsan用户。...使用命令查看前面的备份集:“Wbadmin  get  versions ” 使用命令来还原系统状态: “wbadmin start recovery -version : ” 重启...DC后验证还原结果,查看帐户zhangsan用户是否恢复 授权还原(指的是有两台DC或多台时进行授权还原) 其实呢授权还原和授权还原差不多无非就是多了最后还原时几个命令而已下面我给大家演示一下 系统状态还原完成后不要重新启动计算机

1.2K30

PowerShell5.X与WMI集成 专题系列分享 第一部分

比如在活动目录当中,我们可以通过Active Directory Module去获取到相应活动 目录当中用户、计算机、安全组等信息,当然我们也可以去创建用户、计算机、安全组。...除此之 外,在hyperV运行环境当中,PowerShell 也为我们提供了hyperVModule,那我们就能够了解到 虚拟机基本信息,虚拟机运行状态,同时也能更改虚拟机所有配置。...True 管理计算机(域)内置帐户 DefaultAccount False 系统管理用户帐户。...Guest False 供来宾访问计算机或访问域内置帐户 WDAGUtilityAccount False 系统为 Windows Defender 应用程序防护方案管理和使用用户帐户。...zhangsan.testLab.com DefaultAccount False 系统管理用户帐户

85920
您找到你想要的搜索结果了吗?
是的
没有找到

围绕PowerShell事件日志记录攻防博弈战

尽管如此,旧版本中默认日志记录级别也可以提供足够证据来识别PowerShell使用情况,将远程处理与本地活动区分开来并提供诸如会话持续时间和相关用户帐户之类上下文,这些已经可以帮助位于防御方蓝队人员进行相关攻击事件推断和关联性分析...)以及发生活动用户帐户。...如果正在使用PowerShell远程处理,则访问系统将使用HostName = ServerRemoteHost记录这些事件。 两条消息都不记录与PowerShell活动关联用户帐户。...处于活动状态时,涉及远程命令执行安全相关事件ID如下: • 事件ID 32850:记录为远程处理进行身份验证用户帐户; • 事件ID 32867/32868:记录在PowerShell远程处理期间进行每个...PowerShell事件日志作为企业在此方面进行监测预警重要数据支持必须充分发挥作用,建议企业用户保持PowerShell事件查看处于最新版本,并启用ScriptBlock日志等功能来加强防御。

1.7K10

围绕PowerShell事件日志记录攻防博弈

随之而来,如何躲避事件日志记录成为攻防博弈重要一环,围绕PowerShell事件查看器不断改善安全特性,攻击者利用多种技巧与方法破坏PowerShell日志工具自身数据,以及事件记录完整性。...尽管如此,旧版本中默认日志记录级别也可以提供足够证据来识别PowerShell使用情况,将远程处理与本地活动区分开来并提供诸如会话持续时间和相关用户帐户之类上下文,这些已经可以帮助位于防御方蓝队人员进行相关攻击事件推断和关联性分析...防御角度(蓝队视角): 通常PowerShell 2.0事件日志可以提供命令活动或脚本执行开始和停止时间,加载提供程序(指示正在使用功能类型)以及发生活动用户帐户。...如果正在使用PowerShell远程处理,则访问系统将使用HostName = ServerRemoteHost记录这些事件。 两条消息都不记录与PowerShell活动关联用户帐户。...PowerShell事件日志作为企业在此方面进行监测预警重要数据支持必须充分发挥作用,建议企业用户保持PowerShell事件查看处于最新版本,并启用ScriptBlock日志等功能来加强防御。

1.3K30

Microsoft 本地管理员密码解决方案 (LAPS)

部署 LAPS 后,经批准用户可以通过多种方法查看计算机本地管理员密码: PowerShell: Get-AdmPwdPassword -ComputerName Active Directory...用户和计算机: 查看计算机属性 ms-Mcs-AdmPwd 值 LAPS 客户端 优点: 全自动、可配置计算机本地管理员帐户更新 OU 访问存储密码简单委托。...持久性 VDI(新计算机名): 如果 VDI 工作站在每次连接时都有一个新计算机名(持久性会话,新计算机映像作为用户登录一部分启动),那么 LAPS 将在 LAPS 更新密码客户端运行并注意到 AD...这意味着 VDI 系统将在阈值期间大部分时间以及超过 LAPS 阈值时 VDI 系统处于活动状态时间内拥有默认 VDI 映像密码。...运行包含 PowerShell cmdlet“ Set-AdmPwdReadPasswordPermission ”,为组委派权限以查看指定 OU 中本地管理员帐户密码。

3.6K10

【CentOS7操作系统安全加固系列】第(3)篇

1、检查不活跃密码锁定是否小于等于 30 天 规则描述:在给定时间段内已停用用户帐户可以自动禁用。建议在密码到期后 30 天内处于活动状态帐户被禁用。...30 天内停用: egrep ^[^:]+:[^\!...cat /etc/pam.d/su,查看文件中是否存在如下配置: auth sufficient pam_rootok.so 使用 pam_rootok.so 认证模块认证 auth required...用户通过 ssh 协议远程登录且 ssh 协议版本为 2 审计描述:查看配置文件/etc/ssh/sshd_config 是否有以下配置: egrep -v "^[[:space:]]_#|^[[:space...SSH登录再su - root 4、检查 AIDE 是否安装 规则描述:AIDE 生产一个文件系统状态快照,其中包括修改时间,权限和文件哈希值,然后可以其与文件系统的当前状态进行比较,以检测对系统修改

2.1K31

ADRecon:一款功能强大活动目录安全研究与信息收集工具

关于ADRecon  ADRecon是一款功能强大活动目录安全研究与信息收集工具,该工具可以帮助广大研究人员从目标活动目录环境中提取和整合各种信息,这些信息能够以特殊格式Microsoft Excel...报告呈现,其中包括带有度量摘要视图,以便于分析并提供目标目标活动环境当前状态整体视图。...该工具支持在任何连接到目标环境/工作站设备上运行,甚至可以从域成员主机运行。...除此之外,该工具可以在非特权(即标准域用户帐户上下文中执行,而细粒度密码策略、LAPS和BitLocker可能需要特权用户帐户。...+(Windows 7已包含3.0); 2、PowerShell 2.0+(Windows 7已包含2.0); 3、一台Windows主机(不支持Linux/macOSPowerShell); 可选要求

88220

MySQL8功能详解——角色

查看角色权限: 当角色授予用户后,我们可以查看用户拥有的权限,执行: ? 是否注意到,执行show grants语句只是看到了用户被赋予了角色,该角色具有哪些权限该如何查看呢?...角色自动激活: 赋予用户帐户角色在帐户会话中可以处于活动状态,也可以处于活动状态。如果赋予角色在会话中处于活动状态,则具有相应权限,反之则没有。...要确定当前会话中哪些角色处于活动状态,使用CURRENT_ROLE()函数。 ?...默认情况下,向帐户赋予角色或在mandatory_roles系统变量值中为其命名后,该角色在帐户会话中不会变为活动状态。...要指定每次用户连接到服务器,进行身份验证时激活角色,请使用 SET DEFAULT ROLE: ? 之后,用app_dev_user登陆服务器,查看当前角色权限: ?

1.2K30

蜜罐账户艺术:让不寻常看起来正常

所有这些都只有用户权限和企业网络上最少活动。 image.png 4....但是攻击者如何在攻击之前验证多汁目标(可能存在漏洞帐户)呢? 有一些关键 AD 用户属性是通过帐户正常使用而更新。这包括帐户上次登录时间、上次登录位置、上次更改密码时间等。...我们可以确定 (NetSessionEnum) 帐户使用位置吗?缺少网络会话数据帐户并不意味着它是蜜罐。 如果是管理员帐户,是否有相关用户帐户处于活动状态?...已至少登录一次(最好更多):活动帐户看起来很可疑,尤其是在所有其他帐户定期登录时。在受保护服务器上配置计划任务以每天/每周使用此帐户登录以增加合法性。...如果假设蜜罐帐户要显示为活动(并被遗忘),请确保有多个登录与其关联,因为攻击者可能会检查 logoncount 属性(尽管此属性不会被复制,因此需要检查多个 DC 才能获得准确计数)。

1.6K10

利用OSINT追踪勒索组织活动

0X00前言 众所周知,勒索组织一直是臭名昭著代名词。在当今网络世界上时时刻刻都存在着勒索软件身影。正所谓,不知攻,焉知防。我们可以更据OSINT方法,去追踪分析各大勒索组织活动,以及状态。...开源情报以这样或那样名称已经存在了数百年。随着即时通信和快速信息传输出现,现在可以从公共、机密来源获得大量可操作和预测情报(来源:百科)。 0X02分析 为什么是加密货币?...我们通过Conti这个勒索组织天内容,发现了不少有关其内部结构和层次结构信息。Conti组织拥有许多与合法中小型企业相同业务部门,包括负责不断面试潜在新员工的人力资源部门。...确保安装防病毒软件保持最新状态,并根据供应商最佳实践适当配置安全功能。禁用 Windows powershell。如果可能,应使用应用程序白名单禁用或限制 powershell。...确保您备份本身不会受到勒索软件威胁。为用户实施最小权限模型,使用单独帐户执行管理任务并实现管理员功能之间职责分离。

13210

使用 AD 诱饵检测 LDAP 枚举和Bloodhound Sharphound 收集器

如何在 Active Directory 环境中检测 Bloodhound SharpHound 收集器和 LDAP 侦察活动完成枚举。...在活动目录中,可以创建用户帐户、组帐户、服务帐户、计算机帐户等形式诱饵帐户。可以添加相关详细信息,使系统、服务、组等看起来更逼真。...,包括所有启用帐户、禁用帐户、具有 SPN 帐户、所有组织单位、组策略对象、AD 中所有安全和安全组、内置容器中组等....下面是如何使用 GUI 完成图形表示: image.png 这也可以使用 PowerShell 来完成: New-ADComputer -Name “THL-SRV2” -SamAccountName...对诱饵组帐户枚举尝试: image.png 对诱饵计算机帐户枚举尝试: image.png 对诱饵用户帐户枚举尝试: image.png 注意:正如您在上面的屏幕截图中看到,事件查看器显示了对象名称和对象类型

2.5K20

域内提权之sAMAccountName欺骗

具体来说,活动目录中每个帐户在sAMAccountName属性中都有自己名称,但是由于没有控制导致可以任意使用,因此任何拥有控制权和对象(即机器帐户)用户都可以修改此值,该修改目的可能导致模拟域上其他帐户...属性,可以创建机器帐户用户具有修改这些属性所需权限,默认情况下,域用户机器帐户配额设置为 10,这允许用户在域上创建机器帐户,或者可以从作为机器帐户所有者帐户角度进行此攻击,通过sAMAccountName...,然而在深入自动化之前,重要是要了解如何使用现有的工具集手动执行这种攻击,在活动目录中创建机器帐户对于红队操作来说并不新鲜,因为它也可以在基于资源约束委派期间使用,Kevin Robertson开发了一个名为...: Set-MachineAccountAttribute -MachineAccount "PentestLab" -Value "dc" -Attribute "samaccountname" 查看活动目录中属性...:'Password1234' -dc-ip 10.0.0.1 此脚本可以根据活动使用各种参数执行,指定域用户凭据和域控制器IP 地址将实施攻击,直到检索到提升票证 python3 noPac.py

96910

铂链第3课 BOTTOS账户体系(密钥对账号钱包)创建和管理

1, 摘要 通过前一课《铂链第2课 如何部署节点并加入BOTTOS测试网络?》学习,同学们知道了如何搭建BOTTOS本地节点环境。...本文包含内容: (1) 创建并查看系统账户 (2)创建并查看用户钥匙对,账户,钱包 (3)给用户账户获取并质押BTO 2,内容 2.1 前置条件 (1)启动本地节点 本文假设你已经按照《铂链第2课....* 2.3 创建并查看用户钥匙对/账户/钱包 (1)【创建公私钥密钥对】 ./bcli wallet generatekey用于创建一对新生成公私钥对。.../bcli transfer 用户用于从源账号from给目标账号to进行BTO转账,需要保证源账号处于unlock状态,有足够余额。...一般为用户提供天内免费额度为400微秒time使用额度 (相应,空间资源对应免费额度为800Bytes)。

71730

我所了解内网渗透 - 内网渗透知识大总结

在使用Kerberos身份验证网络中,必须在内置计算机帐户(如NetworkService或LocalSystem)或用户帐户下为服务器注册SPN。对于内置帐户,SPN将自动进行注册。...但是,如果在域用户帐户下运行服务,则必须为要使用帐户手动注册SPN。...该文件还包含所有域用户和计算机帐户密码哈希值。...同步之后使用法国佬神器(mimikatz)查看KRBTGT用户和SAM中管理员NTLM值。 可以看到两个账户NTLM值相同,说明确实同步成功 ? ?...GPO另一优点就是攻击过程期间并不需要目标系统在线,一旦离线状态目标系统重新登录到域中,恶意GPO载荷就会被投递到目标系统。

4.2K50

域渗透:使用蜜罐检测出Kerberoast攻击

如果您拥有SIEM或使用SOC管理服务,则应该已经捕获了这些事件,并且可以创建自定义警报,但是对于此博客文章,我们将说明如何在没有其他服务或产品情况下识别此活动。 ?...创建一个自定义事件视图,以识别何时为我们蜜罐用户帐户请求Kerberos服务票证。这可以通过使用以下包含我们新创建帐户XPath查询来完成。...如果我们不执行此步骤,则在大型AD环境中,将有成千上万4769事件日志,并且很难识别恶意活动。...这可能是受感染用户,或者是攻击者使用他们自己设备物理连接到网络。 ? 现在,我们可以创建一个特定事件查看器任务,该任务将在事件出现在自定义事件视图中时触发。...在最后一步中,我们将操作设置为启动powershell.exe,但是您应该将其更改为启动PowerShell脚本,该脚本通过电子邮件向管理员发送电子邮件,说明正在进行中恶意活动也将禁用该帐户。 ?

1K20

如何检测与避免?

获取这些信息可能会给组织或受害者个人带来严重经济损失。 根据谷歌透明度报告,加密流量从 2014 年大约 50% 增加到今天 80% 到 90%。关于组织财务损失。...如何避免钓鱼 根据网络安全和基础设施安全局 (CISA) 说法,网络犯罪分子可能发送流行信息是: “我们怀疑您帐户存在未经授权交易。...为确保您帐户不被盗用,请单击下面的链接并确认您身份。” “在我们定期验证帐户期间,我们无法验证您信息。请单击此处更新并验证您信息。” “我们记录显示您账户被多收了。...由于该组织销售团队很谨慎,他们很快就意识到了问题。准备不足的人可能会陷入提供敏感信息陷阱——从而导致数据泄露。 在查看从组织外部收到任何电子邮件时,务必格外小心。...ThreatEye平台对网络流量特征分析,可以发现与用户浏览网络钓鱼网站或点击电子邮件中恶意链接有关活动,这些活动会提示基于网络恶意软件回调,这是相关常见感染媒介。

94800

对 App Store 或 iTunes Store 购买项目申请退款

您可以在购买后 90 天内通过购买历史记录对某些 App Store 或 iTunes Store 购买项目申请退款。适用限制条件。请参阅“Apple 媒体服务条款和条件”了解详细信息。...您只能对购买历史记录中项目申请退款。请了解如何就您银行或付款方式对账单上出现未知或不熟悉 Apple 收费获取协助。...进一步了解在 App Store 或 iTunes Store 中查看购买历史记录。 如果对某个项目的收费处于待付款状态,则表示您还没有付款,不能申请退款。在收费完成后,请再次尝试申请退款。 ?...请确保使用购买项目时所用同一 Apple ID 登录。另外,请确保这不是使用您付款方式支付家庭成员购买项目。 某些超过 90项目和购买项目不符合退款条件。...如果您收到一封关于向您帐户收费电子邮件,但您不记得授权过,请了解如何识别合法 App Store 或 iTunes Store 电子邮件。 ?

3.5K20

MySQL 8.0用户和角色管理

查阅了MySQL8.0官方文档,通过官方示例来查看管理方式。...,帐户特定到期时间设置示例: 要求每90天更换密码: CREATE USER 'wangwei'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY; ALTER...像用户帐户一样,角色可以拥有授予和撤消权限。可以授予用户帐户角色,授予该帐户与每个角色相关权限。用户被授予角色权限,则该用户拥有该角色权限。...; SET DEFAULT ROLE 指定哪些帐户角色默认处于活动状态; SET ROLE 更改当前会话中活动角色。...CURRENT_ROLE()功能显示当前会话中活动角色。 2.1 创建角色并授予用户角色权限 考虑如下几种场景: 应用程序使用名为app_db数据库 。

2.8K00

如何通过审计安全事件日志检测密码喷洒(Password Spraying)攻击

这种针对所有用户自动密码猜测通常是为了避免帐户被锁定,因为针对同一个用户连续密码猜测会导致帐户被锁定。所以只有对所有用户同时执行特定密码登录尝试,才能增加破解概率,消除帐户被锁定概率。...关于“密码喷洒(Password Spraying)”概念,我是在BSidesCharm 2017有关“如何检测难以寻找攻击活动目录”演讲中提到。...至于如何收集有关活动目录环境密码策略信息并使密码喷洒工具自动适应这些信息,对攻击者来说是小菜一碟。...它可以显示出黑客尝试登录该帐户最后一个错误密码日期和时间。运行以下PowerShell cmdlet可显示活动目录域中具有与错误密码尝试相关属性用户。...lastbadpasswordattempt和badpwdcount属性活动目录用户帐户

2.4K30
领券