Tools – AndruXO Blog

Кто входил на компьютер. Поиск в логах.

October 20, 2021October 20, 2021 by AndruXO

Если нужно определить на удалённом компьютере, под каким пользователем на него входили (интерактивный вход), то, подключившись оснасткой Computer Management, можно зайти в Event viewer/Windows Logs/Security (Просмотр событий/Журналы Windows/Безопасность) и справа нажать Filter Current Log (Фильтр текущего журнала). В открывшемся окне нужно перейти во вкладку XML и нажать снизу галочку Edit query manually (Изменить запрос вручную).
В окне ввода фильтра вписать:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4624)] and (EventData[Data[@Name='LogonType']='2'] or EventData[Data[@Name='LogonType']='11'])]</Select>
  </Query>
</QueryList>

После нажатия ОК покажутся только события входа в Windows.
Также можно добавить в фильтр события разблокировки компьютера (LogonType=7), чтобы получить все события локальных действий с компьютером, но для данной задачи это не нужно.

Тип входа 2: Интерактивный. Пользователь непосредственно вошел на этот компьютер.

Событие с типом входа = 2 записывается в журнал безопасности когда пользователь вошел или попытался войти в систему непосредственно локально, используя клавиатуру и введя имя пользователя и пароль в окне входа в систему. Событие с типом входа = 2 возникает при использовании как локальной так и доменной учетной записи.
Если пользователь входит с доменной учетной записью, событие с типом входа = 2 появится если пользователь будет действительно аутентифицирован в домене (контроллером домена)
В случае, если контроллер домена недоступен, но пользователь предоставил валидный пароль, закэшированный в локальном компьютере, Windows поставит тип входа = 11.

Тип входа 11: CachedInteractive. Пользователь вошел на этот компьютер с сетевыми учетными данными, которые хранились локально на компьютере. Контроллер домена не использовался для проверки учетных данных.

Когда пользователь входит в домен, Windows кэширует учетные данные пользователя локально, так что он позже может войти даже если контроллер домена будет недоступен. По умолчанию, Windows кэширует 10-25 последних использованных доменных учетных записей (это зависит от версии Windows). Когда пользователь пытается войти с доменной учетной записью, а контроллер домена не доступен, Windows проверяет учетные данные по сохраненным хэшам и регистрирует события 4624 или 4625 с типом входа = 11.

(с) Тип входа (Logon type) – что означает этот параметр?

SSL Hardening Tools

May 8, 2021May 8, 2021 by AndruXO

Mozilla SSL Configuration Generator

На данной страничке можно создать конфиг для настроек SSL таких продуктов как Apache, NGINX, HAProxy, MySQL и т.д.
При этом можно выбрать параметры совместимости и даже оттолкнуться от установленной в системе версии OpenSSL.

SSL Labs SSL Server Test

Однозначно необходимый тест для проверки настройки выставленного в Интернет сайта.
Покажет ошибки в сертификате сервера, доступные на сервере протоколы и шифры, а также связанные с этим риски и несовместимые операционные системы и браузеры.
Также проверит на широко известные уязвимости веб-сервера и параметры, снижающие общую безопасность сайта.
Ну и, что самое главное, просто покажет рейтинг безопасности! Чем-то же надо меряться… 🙂

Расчёт скорости потока TCP в зависимости от RTT

March 21, 2021March 20, 2021 by AndruXO

Часто можно заметить, что при достаточно широком канале от провайдера скорость скачивания файлов из сети Интернет совсем не соответствует ожидаемому максимуму, и канал не утилизируется полностью. Особенно сильно это заметно на спутниковых каналах. Оказывается, что задержка прохождения пакетов по маршруту коренным образом влияет на скорость до клиента.
В этой статье мы рассмотрим, как рассчитать максимальную пропускную способность соединения через TCP в один поток.

Отправка письма через telnet

November 9, 2023July 27, 2020 by AndruXO


EHLO yourdomain.com
MAIL FROM:<admin@yourdomain.com>
RCPT TO:<info@remotedomain.com>
DATA
Subject: TEST
TEST TEST TEST
.
QUIT

CheckTLS для почтовых серверов:
https://www.checktls.com/TestReceiver

Утилита HP для создания загрузочных флешек из ISO

May 14, 2020 by AndruXO

cp029814__USB Key Utility for Windows Download