Как мы забыли согласовать порты и просрочили запуск важного проекта

При внедрении инфраструктурного решения часто кажется, что всё сводится к одному простому действию: открыть доступ к веб-интерфейсу. На первый-третий расчитайсь! Сервер – рас. Администратор – два. URL – три! Открыли HTTPS 443 – значит, можно запускаться. На практике с решениями, которые работают с Linux-каталогом, такой подход всё одно, что бить палкой крапиву. Веб-интерфейс – это только точка управления. Само решение не живёт в вакууме: ему нужно обращаться к контроллерам домена, LDAP-каталогу, Kerberos/KDC, DNS, NTP. И это не пожелания, а обязательная сетевая связность, без которой сервис просто не работает – даже если страница в браузере открывается. Именно поэтому при согласовании с ИБ важно приносить не просьбу «дайте доступ к серверу, сколько не жалко», а схему сетевых взаимодействий. История реальная Проект – Linux-каталог на 600 пользователей. Крайний срок – конец квартала. Мы сделали всё: Linux-каталог развёрнут, тестирование прошло, дата запуска согласована, рубашки заправлены. За день до старта звонит ИБ: «А где схема сетевых взаимодействий?». Схемы нет. Я думал: ну HTTPS же открыли – чего ещё надо? Как оказалось – надо всё остальное. И вот почему. Формально доступ к веб-морде есть. Админ может зайти, логин-пароль ввести. Но само решение не может выполнить ни одной задачи. В каталог ему не пролезть. LDAPS не согласован. Kerberos – только в наших мечтах. DNS – «ну он же работает», но в заявке нет... Я сижу и тупо смотрю на экран. Консоль открыта. Пользователей добавить нельзя.

https://habr.com/ru/articles/1046666/

#linux #ldap #kerberos #activedirectory #aldpro #freeipa #информационнаябезопасность #сетеваяинфраструктура #системноеадминистрирование #внедрение

https://winbuzzer.com/2026/06/07/microsoft-sets-june-kerberos-tests-for-ntlm-shift-xcxwbn/

Microsoft will test Kerberos paths for Windows NTLM fallback in June, giving admins a Canary preview to catch legacy app and device authentication failures.

#WindowsNTLM #Kerberos #Microsoft #MicrosoftWindows #Windows11 #WindowsServer #WindowsInsiderProgram #Cybersecurity #WindowsSecurity

Punto Informatico: Microsoft disattiva NTLM su Windows: cosa cambia davvero

Microsoft disattiva NTLM di default nelle prossime versioni di Windows e punta tutto su Kerberos. Ecco cosa sono IAKerb e LocalKDC.
The post Microsoft disattiva NTLM su Windows: cosa cambia davvero appeared first on Punto Informatico.

Microsoft disables NTLM on Windows: what really changes

Microsoft is disabling NTLM by default in upcoming versions of Windows and is betting everything on Kerberos. Here's what IAKerb and LocalKDC are.
The post Microsoft disables NTLM on Windows: what really changes appeared first on Punto Informatico.

#Microsoft #Kerberos #IAKerb #LocalKDC #first #PuntoInformatico

https://www.punto-informatico.it/microsoft-disattiva-ntlm-windows-cosa-cambia-davvero/

🚨 NTLM is on its way out. Attackers are still abusing it today.

Pass-the-Hash and NTLM relay attacks remain major Active Directory risks.

👉 https://7asecurity.com/blog/2026/05/ntlm-hash-security-kerberos-migration/

#CyberSecurity #ActiveDirectory #Kerberos

🚨 NTLM is on its way out. Attackers are still abusing it today.

Pass-the-Hash and NTLM relay attacks remain major Active Directory risks.

👉 https://7asecurity.com/blog/2026/05/ntlm-hash-security-kerberos-migration/

#CyberSecurity #ActiveDirectory #Kerberos

🚨 Kerberoasting has evolved.

Attackers now blend into normal network traffic with targeted service ticket requests.

Learn how to detect them with KQL hunting and Kerberos hardening.

👉 https://7asecurity.com/blog/2026/05/stop-kerberoasting-threat-hunting-blueprint/

#CyberSecurity #ThreatHunting #Kerberos

🚨 Kerberoasting has evolved.

Attackers now blend into normal network traffic with targeted service ticket requests.

Learn how to detect them with KQL hunting and Kerberos hardening.

👉 https://7asecurity.com/blog/2026/05/stop-kerberoasting-threat-hunting-blueprint/

#CyberSecurity #ThreatHunting #Kerberos

Reset — прохождение сложной машины от Tryhackme

Годная машина на тему Windows AD, Kerberos. В начале разведки получаем доступ к гостевой шаре. Оттуда достаем файл с паролем, но не знаем от какой учетной записи. Проводим разведку юзеров, получаем список и находим 1 пользователя к которому подходит этот пароль. Далее проводим разведку с помощью BloodHound и по цепочке получаем доступ к нескольким аккаунтам у последнего есть права Unconstrained Delegation Privilege на доменный компьютер. С помощью механизма S4U2self, запрашиваем билет на имя администратора и захватываем компьютер.

https://habr.com/ru/articles/1041620/

#windows #reset #kerberos #bloodhound #impacket #hashcat #asrep_roasting #delegation #activedirectory #active_directory