К
я так и сказал
Size: a a a
2021 June 07
O
ой, невнимательная я Ж. сорямба.
O
Короче, приятель, выбор такой - скурить вагон манов, уговорить админов АД, не ошибиться нигде и .т.п ИЛИ использоваться SQL-аутентификацию.
К
да там на самом деле не так много сделать надо. но если админы - отдельный отдел, то 3 галочки могут вылиться в недели работы)
а и еще есть вариант, что в домене нет кербероса, а только ntlm
а и еще есть вариант, что в домене нет кербероса, а только ntlm
НЛ
Но сам сиквел работает от учетки network service, её-то в домене нет, также не глянуть. Но я в логах обнаружил другое. При сопоставлении учетных записей он меня шлет куда подальше по причине того, что я пытаюсь аутентифицироваться доменной учеткой с использованием аутентификации SQL. Так что попрошу создать мне SQL-учетку.
К
если уз от nt service, то, значит, он от имени компа ходит в сеть. должно хватить прав серваккм на делегацию
O
Вот да, смех смехом, но в моей практике был случай - после запуска службы от доменной учётки, двух недель порева с мордобоем с AD к нам пришли безы и сказали, что похачили наш пароль SQL Server через kerberoasting чисто потому, что у нас есть SPN. И либо мы сносим SPN, либо делаем у учётчки пароль в 128+ символов.
НЛ
Запрос, который был по ссылке дан, говорит, что у меня используется kerberos
К
значит, полпути пройдено)
O
значит еще с делегированием надо посмотреть что.
К
херасе. не знал)
НЛ
Ну значит, завтра нашего доменного админа потереблю, что он в ответ на это скажет. Спасибо за ответы
O
Как эта атака работает - вот тут https://www.qomplx.com/qomplx-knowledge-kerberoasting-attacks-explained/
O
Самая суть : "
Kerberoasting attacks work only against domain user SPNs. That is because host-based SPNs are secured with random 128-character passwords that are changed every 30 days. These long, random, and short lived passwords are practically unguessable, even with modern password cracking tools and hardware. "К
а всякие gMSA не спасают?
O
Спасают
at
куда ставить хинт? в конце запроса ставлю - ошибка: Incorrect syntax near keyword OPTION
перед where если ставлю - то ругается уже на where
перед where если ставлю - то ругается уже на where
АР
select ... from ... where ... group by ... order by ... option (queryruleoff BuildSpool);
print @@version что покажет?
print @@version что покажет?
at
2019 15.0