我正在研究防止DNS重新绑定攻击的深入 。 当然,使用HTTPS并确保其他任何validationHost标头在防止DNS重新绑定攻击方面做得很好,但我真的觉得这是可以在门外停下来的,可以这么说。 对于那些不知道的人来说,一个简单的DNS重新绑定攻击是当一个DNS服务器为一个域返回两个logging,一个合法的外部IP和一个内部IP(有更高级的攻击)时。 使用一些技巧,你可以让浏览器发送内部的HTTP请求,并渗透回应。 我本来以为从外部DNS响应中滤除内部IP应该是默认的,或者至less是可以做的事情。 但我GOOGLE了广泛,无法find有关configuration此Windows DNS服务器的任何信息。 似乎其他DNS服务器,如BIND,处理这个很容易。 有反正我可以过滤或阻止包含使用Microsoft DNS的内部IP地址的外部DNS响应? (ps:我是新来的,如果这不是这个问题的适当的堆栈站点,请让我知道)。
我希望能够通过T-SQL或Powershell在新的或现有的Windows Server服务器上打开IFI http://bit.ly/1dK32Dc 。 不想通过“本地安全>本地策略>用户权限分配>执行卷维护任务>添加用户”路由 – 需要通过脚本部署新机器,无需手动交互。 假定SQL Server服务帐户不更改。 对于新安装,当我select帐户时,我可以运行下面的Powershell脚本,并解决了这个问题: $sqlaccount = "domain\account" # https://technet.microsoft.com/en-gb/library/bb490997.aspx secedit /export /cfg C:\secexport.txt /areas USER_RIGHTS $line = Get-Content C:\secexport.txt | Select-String 'SeManageVolumePrivilege' (Get-Content C:\secexport.txt).Replace($line,"$line,$sqlaccount") | Out-File C:\secimport.txt secedit /configure /db secedit.sdb /cfg C:\secimport.txt /overwrite /areas USER_RIGHTS 但是,对于现有的SQL安装,无法想象查询已configuration的SQL Server服务帐户的方法 – 并将其提供给此脚本。 考虑到WS 2012 R2的解决scheme,但是在WS 2003 R2上也可以使用的解决scheme是最好的(如果我没有弄错的话,支持Powershell 2)。
让我先说这个,说我不是广告pipe理员,我们的广告专家是度假的 – 完美的时机 – 所以请原谅我的无知。 我有一个主域控制器ADServer (具有FSMOangular色),这是双向复制到辅助域控制器TWDC 。 domain / dhcp / dns在两台服务器上都被丢弃了,唯一有效的还原点就是备用控制器(大约20天后)。 我试图在还原的服务器上执行DSRM授权还原,但无法连接到主服务器上的域服务。 我有networking启动并运行在二级域控制器上,但是,主要看起来很漂亮的垃圾netlogon服务将无法启动日志中有多个错误: DFS namespace service could not initialize the trusted domain controller , The procession of Group Policy failed , Active Directory Web Services could not change its advertising state , This computer is now hosting the specified directory instance, but Active […]
我们在主域( acme.com )下有几个域名。 员工有一个Exchange帐户( [email protected] ),但偶尔也需要从其他域发送邮件。 为避免每个用户有大约15个邮箱,我们将每个收到的邮件都redirect到[email protected]邮箱。 员工在Outlook中configuration了附加的只发送账户(使用不存在的POP服务器notused.lan和托pipe提供商的公共SMTP服务器smtp.foo.com )。 这样,他们可以select从其中一个额外的域发送,发送的电子邮件将存储在Exchange发送的文件夹中,回复将存储在Exchange邮箱中。 缺点是,一旦用户切换到另一台计算机或创build一个新用户,我们必须分别设置每个帐户,需要太多的支持时间。 除了通过自动发现的用户Exchange帐户之外,是否有部署POP帐户的方法?
我已经在Azure上运行了Windows Server 2012 R2多个月的实例。 当我的应用程序突然变得不可用时,一些挖掘显示虚拟机在“启动诊断”下显示附加的错误。 如果无法访问主机,则需要排除故障。 我没有一个支持合同,并被指示在这里寻求帮助。
我正在尝试开发一个可以遍历NTLM身份validation代理的networking隧道。 作为我正在调查NTLM身份validation如何工作的一部分。 我的testing安装程序在configuration为需要NTLM身份validation的Windows盒子上安装了WinGate代理。 我的Windows客户端设置为使用WinGate机器作为代理。 WinGate重新启动后,我打开的第一个网页需要身份validation – 我通过Fiddler看到NTLM交换。 来自同一台PC的后续请求似乎不需要authentication。 我的意思是来自PC的任何请求,而不仅仅是来自同一浏览器的请求,例如,在Chrome中完成初始身份validation时打开Firefox。 我已经使用Fiddler(以前还用Wireshark)捕获了所有的stream量 – 我没有看到有任何令牌或标识被发送到代理的证据。 那么代理如何知道允许这些后续请求通过? 这是NTLMauthentication的预期行为?
我试图连接到一个设置为samba共享的linux服务器。 我能够SSH和ping到桑巴服务器,但是当我试图通过Windows映射驱动器它说:“Windows无法访问\ IP \示例。 鉴于我可以ssh到它告诉我,问题来自nmb方面的事情…我已经重新启动smb,nmb和iptables,但仍然无法连接。 *$iptables -S -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state –state NEW -m tcp –dport 22 -j ACCEPT -A INPUT -j REJECT –reject-with […]
希望有人可以解释,如果我们必须search客户端或服务器端脚本的解决scheme。 除了一家公司之外,这个链接可以被许多工作站打开。 他们必须访问的网站是用PHP写的,需要SSL / https连接。 该公司拥有40至50个Windows 7 x64企业站,IE11,Chrome和Firefox无法访问该URL,导致错误消息500。 试图与2互联网连接,一个与代理和一个没有(直接)。 在一个域内,在一个工作组内。 试图将IE设置重置为默认值,清除工作组工作站上的组策略,但没有成功。 他们在Windows 10 Pro上有1个工作站。 这台机器能够在上面提到的同一个networking连接上使用IE11,Edge&Chrome访问这个url。 而在Windows 10 Pro上有另一台工作站,这个只能访问IE11中的url。 边缘浏览器仅在访问url时出现崩溃,chrome结果出现错误500。 有什么浏览器相关的问题可以导致或是它的服务器端?
我对组策略非常陌生,但一直在试图让我们的办公室打印机可以访问我们域中的每个人。 据我所知,有三种方法可以用组策略来做到这一点: 计算机configuration – >首选项 – >控制面板设置 – >打印机(并通过IP手动添加打印机,这似乎没有设置打印服务器的真正意义?) 用户configuration – >首选项 – >控制面板设置 – >打印机(并通过打印服务器中设置的共享path添加打印机) 直接从打印服务器上下文菜单中将打印机部署到GPO 我尝试了一个空白/新的组策略的所有方法,只有2和3的结果在打印机被自动列出,并在客户机上访问(尽pipe事实上,我无法findGPO中的打印机的任何引用时执行方法3)。 我觉得最好在每台机器上部署打印机,而且这样做通过GPP优先于部署打印机(方法3),因为它可以让您稍微控制一些。 是这种情况,如果是这样,有没有什么特别的,你需要做的使用方法1为用户添加打印机? (仅供参考,运行Windows Server 2016和Windows 7客户端)
我找不到任何事件或日志文件, 有没有这样的logging,或只有在发现某些东西时才报告WD? Windows 10专业版, 驱动器是用bitlockerencryption的(可能会影响到?)