CredSSP encryption oracle remediation - ошибка RDP подключения

Из вчерашнего:

Приспичило одному из сотрудников поработать на дому.

Болт!

IP "Remote computer" конечно "левый".

Проблема связана с уязвимостью: CredSSP Remote Code Execution Vulnerability

Что делать? 

Установить обновления на сервер. 

Лучше все (но аккуратно!). 

Или отдельно:

• обновление для Windows Server 2012 R2
• обновление для Windows Server 2008 R2 SP1

Все равно - засада. 

1. Как зайти теперь на сервер? 

2.  Если VMware - через консоль.

Проще через групповые политики на своём компе отключить: 

cmd - gpedit.msc -  Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных. 

В подпапке «Передача учетных данных» найти параметр «Исправление уязвимости шифрующего оракула», открыть, включить его использование - «Включено» и установите значение параметра в выпадающем списке на «Оставить уязвимость». 

После манипуляций этих действий на ПК, уже можно подключаться к серверу также, но это не решение проблемы безопасности, это больше костыль.

Читать далее ...

Конвертация раздела из MBR в GPT

1.    С потерей данных 

Загружаемся с загрузочного диска windows, вместо установки переходим в восстановление и в командную строку. 

Оттуда 

diskpart

list volume 

select volume X (выбираем наш volume) 

convert gpt 

Перезагрузка 

 2. Без потери данных - https://www.disk-partition.com/download-home.html

Читать далее ...

Как узнать SID пользователя или определить его имя

Предыстория:

Сюжет, наверное, знаком многим сисадминам и не только...

Звонят, пишут пользователи и говорят, что на сервере пропала какая-то папка, а возможно и – цать штук, причем пропала сама собой, никто не трогал.

В чудеса с детства не верю, и начинаются неординарные поиски пропавшей папки. Алгоритм как правило простейший - для начала смотрим на наличие скрытых файлов в каталоге, где жила папка, проходим там прогой а-ля для восстановления данных и если ничего не находится, то скорее всего и не удалялось, а просто перемещено... и возможно в корзину. И другие подобные действия (backup еще никто не отменял).

Сопричастных лиц как правило ограниченное количество. Можно порыться в корзинах пользователей порыться тем же Total Commander, включив отображение системных файлов. Корзины пользователей имеют уникальный идентификатор и лежат в общем каталоге $RECYCLE.BIN на дисках. Уже теплее...

Итак – к чему все это.

В Windows, любой учетной записи пользователя присваивается уникальный идентификатор безопасности SID (Security Identifier). По сути, ОС оперирует именно SID-ами, а не именами пользователей.

Пример:

 Если назначали права доступа к папкам или файлам разным пользователям, а потом какого-то пользователя удаляли из системы, то могли видеть оставшиеся SID в свойствах ресурса.

Не все SID уникальны, и у встроенных учетных записей (Администратор, Гость), они постоянны. SID-ы локальных учёток хранятся в базе данных диспетчера учетных записей SAM (Security Account Manager), для доменных, соответственно в AD.

Как узнать SID пользователя или определить его имя?

Проще всего посмотреть SID текущего пользователя с помощью утилиты whoami. Для этого в cmd:

C:\Users\vvsoldatov.INKAKHRAN>whoami /user

Сведения о пользователе

----------------

Пользователь         SID

==================== ==============================================

inkakhran\vvsoldatov S-1-5-21-2417822508-1771574648-3096115848-1838

C:\Users\vvsoldatov.INKAKHRAN>

Это я :), но это не интересно

Интереснее всего узнать SID произвольного пользователя. Для этого нужна утилита WMIC из состава WMI.

Посмотрим SID пользователя MOSokolov:

C:\Users\vvsoldatov.INKAKHRAN>wmic useraccount where name='MOSokolov' get sid

SID

S-1-5-21-2417822508-1771574648-3096115848-12650

C:\Users\vvsoldatov.INKAKHRAN>

Ну и обратно - определить имя пользователя по SID:

C:\Users\vvsoldatov.INKAKHRAN>wmic useraccount where sid='S-1-5-21-2417822508-17

71574648-3096115848-12650' get name

Name

MOSokolov

C:\Users\vvsoldatov.INKAKHRAN>

Удобно однако.

Читать далее ...