Compartir a través de

AD LDS KB5008383

Anónimas
2024-09-27T09:41:54+00:00

I am hardening AD LDS , is there any patch that can be applied to fix KB5008383 or it has to be solved by adjusting the settings manually?How can I easily check if my server is vulnerable?

Also i created this script but i dont know if its correct and enought:

Import-Module ActiveDirectory

function Get-DomainPath {$domain = (Get-ADDomain).DistinguishedNamereturn $domain}

function Check-ADHeuristics {$domainPath = Get-DomainPath$dsHeuristics = (Get-ADObject "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,$domainPath" -Property dSHeuristics).dSHeuristics

if ($dsHeuristics.Length -ge 29) {$char28 = $dsHeuristics[27]$char29 = $dsHeuristics[28]if ($char28 -eq '1' -and $char29 -eq '1') {Write-Host "Not vulnerable: Enforcement mode enabled for LDAP operations."} else {Write-Host "This server is vulnerable: Boost mode is not enabled."}} else {Write-Host "This server is vulnerable: The dSHeuristics attribute is not long enough."}}

function Check-EventLog {$eventLogQuery = @(3044, 3045, 3046, 3050, 3051, 3053, 3054)$events = Get-WinEvent -LogName "Directory Service" | Where-Object { $eventLogQuery -contains $_.Id }

if ($events) {Write-Host "This server has registered events of possible vulnerability."} else {Write-Host "No vulnerability events have been recorded."}}

Check-ADHeuristicsCheck-EventLog

Thanks in advance,

Best regards.

Windows para empresas | Windows Server | Servicios de directorio | Active Directory

Pregunta bloqueada. Esta pregunta se migró desde la Comunidad de Soporte técnico de Microsoft. Puede votar si es útil, pero no puede agregar comentarios o respuestas ni seguir la pregunta. Para proteger la privacidad, los perfiles de usuario de las preguntas migradas son anónimos.

0 comentarios

1 respuesta

Ordenar por: Muy útil
Muy útil Más reciente Más antiguo
  1. Anónimas
    2024-09-30T02:59:00+00:00

    Esta respuesta se ha traducido automáticamente. Como resultado, puede haber errores gramaticales o expresiones extrañas.

    Hola david gonzalez_090,

    Gracias por publicar en los foros de la comunidad de Microsoft.

    KB5008383: actualizaciones de permisos de Active Directory (CVE-2021-42291) - Soporte técnico de Microsoft

    I. Supervisión del tráfico de red

    Utilice herramientas de monitoreo de red: por ejemplo, Wireshark, tcpdump, etc., para capturar y analizar el tráfico de red y verificar actividades inusuales o sospechosas. Los atacantes pueden intentar realizar operaciones como escaneo de puertos, ataques DDoS, transmisión de malware, etc. Estas actividades pueden dejar rastros en el tráfico de la red.

    Comprueba el uso del ancho de banda: si encuentras un tráfico inusualmente alto, puedes estar siendo atacado.

    En segundo lugar, analice los archivos de registro

    Registros del sistema: Compruebe los archivos de registro del sistema del servidor, como /var/log/auth.log (para registrar información de autenticación), /var/log/syslog (para registrar eventos del sistema), etc., para buscar eventos inusuales o accesos no autorizados. La actividad de inicio de sesión inusual (por ejemplo, intentos de inicio de sesión fallidos frecuentes) puede indicar que el servidor ha sido forzado o que se ha intentado la ejecución de comandos remotos.

    Registros del servidor web: En el caso de los servidores web, analice también los registros de acceso al servidor web, como el access.log de Apache, el access.log de Nginx, etc., para comprobar si hay solicitudes de acceso inusuales, como visitas frecuentes a una determinada URL, un gran número de errores 404, etc.

    Registros de firewall: si el servidor se implementa con un firewall, puede verificar los registros del firewall para verificar si hay intentos de invasión anormales, comportamientos de ataque, etc.

    En tercer lugar, verifique los procesos y puertos del sistema

    Procesos anormales: Utilice comandos (por ejemplo, top, ps aux) para ver los procesos del sistema del servidor y comprobar si hay desconocidos, ocupan una gran cantidad de recursos del sistema o realizan operaciones ilegales del proceso.

    Puertos abiertos: Utilice comandos (por ejemplo, netstat, lsof) para comprobar los puertos y servicios abiertos del servidor y asegurarse de que no hay puertos abiertos innecesarios, especialmente aquellos que se sabe que tienen vulnerabilidades.

    En cuarto lugar, el uso de herramientas de seguridad y escaneo

    Herramientas de monitoreo de seguridad: Utilice firewalls, sistemas de detección de intrusiones (IDS), sistemas de prevención de intrusiones (IPS), etc., para monitorear el tráfico de red del servidor y el estado del sistema, y la detección oportuna de posibles ataques.

    Herramientas de análisis de vulnerabilidades: Utilice herramientas de análisis de vulnerabilidades (por ejemplo, OpenVAS, Nmap, etc.) para analizar los servidores de forma regular para detectar la existencia de vulnerabilidades de seguridad y repararlas de manera oportuna en función de los resultados del análisis.

    Herramientas de auditoría de seguridad: Utilice herramientas de auditoría de seguridad (por ejemplo, AIDE, OSSEC, etc.) para realizar auditorías de seguridad en los servidores para comprobar si hay vulnerabilidades o cambios anormales en la configuración de seguridad de los servidores.

    Saludos

    Neuvi

    0 comentarios