Мы сталкиваемся с частыми и высокоскоростными соединениями почти с каждой машины в нашей среде без какой-либо узнаваемой закономерности.
Мы передали примерно 110 ГБ в/из наших основных контроллеров домена (10.223.3.35 и 10.223.3.14) за последние 24 часа через порт 445.
Недавно мы внесли следующие изменения в нашу среду: (однако эти изменения были внесены примерно через 7 дней после того, как впервые возникли проблемы с сетью)
Цифровое шифрование или подпись данных безопасного канала (всегда) — включено
Цифровое шифрование данных безопасного канала (когда это возможно) — включено
Использовать цифровую подпись для данных безопасного канала (когда это возможно) — включено
Отключить изменение пароля учетной записи компьютера — ОТКЛЮЧЕНО
Максимальный срок действия пароля учетной записи компьютера — 30 лет.
Требовать надежный (Windows 2000 или более поздняя версия) сеансовый ключ — включено
Отправлять незашифрованный пароль для подключения к сторонним SMB-серверам — ОТКЛЮЧЕНО
Разрешить анонимный перевод SID/имени — ОТКЛЮЧЕНО
Не разрешать анонимное перечисление учетных записей SAM — включено
Не разрешать анонимное перечисление учетных записей и общих ресурсов SAM — включено
Ограничение анонимного доступа к именованным каналам и общим ресурсам — включено
Разрешить откат сеанса LocalSystem NULL — отключено
Не сохранять хеш-значение LAN Manager при следующей смене пароля — Включено
Уровень аутентификации LAN Manager — отправлять только ответ NTLMv2\отказываться от LM и NTLM
Требования к подписи клиента LDAP — согласование подписи
Минимальная безопасность сеанса для клиентов на основе NTLM SSP (включая защищенный RPC) — требуется безопасность сеанса NTLMv2, требуется 128-битное шифрование
Минимальная безопасность сеанса для серверов на основе NTLM SSP (включая безопасный RPC) — требуется безопасность сеанса NTLMv2, требуется 128-битное шифрование
Snort часто возвращается с этим типом журнала:
01.07-20:01:41.953634 [] [1:3276:2] Попытка привязки NETBIOS DCERPC IActivation с прямым порядком байтов [] [Классификация: декодирование команд общего протокола] [Приоритет: 3] {TCP} redactedIP:55424 -> 10.223.3.35:135
Средство просмотра событий, кажется, регистрирует непристойное количество событий безопасности, но ни одно из них не выделяется.Использование диска в мониторе ресурсов может составлять около 100 МБ / с, а сеть иногда загружает 150 Мбит / с или выше, по-видимому, без веской причины. Нет идентифицируемой преднамеренной крупной передачи данных ни с одной из проблемных машин.
Любое понимание, которое кто-либо может предоставить, очень ценится!
