Kerberos域安全

最新推荐文章于 2024-04-01 15:51:41 发布
VIP文章 最新推荐文章于 2024-04-01 15:51:41 发布
阅读量393 收藏
点赞数
分类专栏: kerberos域安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34640691/article/details/112226424
版权

 

1.kerberos协议

Kerberos协议由麻省理工学院MIT提出,目前主流版本为RFC 4120定义的V5版
Windows、 Linux和Mac这3大主流操作系统均支持Kerberos协议,Windows 2016支持最新的Kerbeos ARMOR版

DS ( Domain Server),存储了每个域用户的口令散列值NTLM。根据功能划分,DC包含2大模块: AS、TGS
AS(Authentication Server ) ,认证用户,用户使用NTLM加密时间戳,AS使用用户的口令NTLM解密时间戳,进行认证。发布认证票据
TGS ( Ticket Granting Service),根据认证票据,发布授权票据。认证票据可以多次循环使用

 

 

Windows下kerberos实现过程

1.在win10下用域普通用户查看

whoami
klist /?
klist sessions    #查看票据,
klist tgt    查看tgt票据,0x5为权限不足,拒绝访问
klist purge    清除票据
klist    查看票据

2.域分组

微软对分组进行了分类,域内的组包括分发组和安全组2大类

  • 分发组(distribution groups),用于创建电子邮件分发列表,只能 用于与电子邮件相关的应用,例如Exchange服务器,应用范围较小;
  • 安全组࿰
最低0.47元/天 解锁文章
willowpy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos安全系列(20)-基于信任关系的安全测试
prettyX的博客
02-14 711
信任:建立之间的信任关系,是为了一个的用户能方便地访问其他的资源,同时也方便了对网络的管理和维护。这种模式在带来便利的同时,也存在很多可以被恶意攻击者利用的地方。 ...
Kerberos安全系列(1)-前言
prettyX的博客
01-12 365
这是一个模拟的网络拓扑图 以红色实线框起来的部分(请忽略用铅笔手绘的部分),一般称之为Kerberos网络,也是这一系列的研究内容 学习目标 掌握网络的主要应用场景:企业网络中的部署应用模式,信任、森林;以及云对于部署的影响 透彻理解KerberosKerberos协议是的基础,掌握基础才能分析漏洞、方法,研究新成果 掌握攻击的主要方法:不知攻,焉知防! ...
Kerberos安全系列(10)-组策略的部署及下发原理
prettyX的博客
02-10 753
1、Server Manager的组策略管理工具,更专业的组策略管理工具GPMC,可以管理多个 2、组策略分为主机策略和用户策略,machine和users目录;脚本类型和非脚本类型,script目录 3、组策略存储在服务器中,\\domain\sysvol\policies,以明文形式存储为xml、ini、inf等文件,对内所有用户开放读权限 4、客户端每90分钟主动获取一次组策...
kerberos主机名替换成名,搭replicate
最新发布
kingrootZ的博客
04-01 309
CDH修改kerberos认证配置
AD安全攻防实践(附攻防矩阵图)
03-11 3273
控为基础架构,通过控实现对用户和计算机资源的统一管理,带来便利的同时也成为了最受攻击者重点攻击的集权系统。01、攻击篇针对控的攻击技术,在Windows通用攻击技术的基础上自成一套技术体系,将AD攻防分为信息收集、权限提升、凭证窃取、横向移动、权限维持等攻击阶段,把环境下众多且繁杂的攻击行为映射到ATT&CK,梳理成一个AD攻防矩阵图。(1)内信息收集当攻击者获得内网某台...
内网安全——Kerberos协议详细全解
m0_67189356的博客
09-21 4493
Kerberos认证详解
kerberos认证协议浅析
萧萧的专栏
03-04 7696
1 引言 在希腊神话中Kerberos是守护地狱之门的一条凶猛的三头神犬,而我们在本文中所要介绍的Kerberos认证协议是由美国麻省理工学院(MIT)首先提出并实现的,是该校雅典娜计划的一部分。这个定名是贴切的,因为Kerberos认证是一个三路处理过程,依赖称为密钥分发中心(KDC)的第三方服务来验证计算机相互的身份,并建立密钥以保证计算机间安全连接。本质上每台计算机分享KDC一个秘钥,而K
安全(1)的基本知识
weixin_51339377的博客
03-27 983
1.相比于传统的渗透测试,红队的攻击较为接近真实的入侵活动 红队是不择手段的,渗透测试是限定方法的 2.很多攻击手段都不是完全孤立的,而是连动化攻击 3.熟练掌握工具只是一小部分,各种原理的深度理解以及二次定制能力才是核心 4.内网的渗透测试(红队)比外网(渗透测试)要复杂很多,所以工具的使用并不是真正的核心 web打点优先考虑点: EDU:教务,新生报名,新生招待,毕业生论文答辩,毕业查询系统 医院:HIS(管理信息系统,临床医疗信息系统,医院信息系统的高级应用) 政府:政务云平台..
安全的基础知识上
weixin_30487317的博客
02-27 322
0、背景 最近一直在学习,总结Windows的相关知识,这是一个大的领,由于刚刚接触,比不了各位大神,抛转引玉,如有错误或不妥之处,烦请各位大佬不吝赐教。 的权限体系 安全对象(Security Principals) 组:组、用户、计算机、服务的一个集合,可以包含任意客体一个或多个。 用户:内的一个用户账号 计算机:内的计算机 服务:内的服务 特殊的组或者账号 buil...
3.3 认证——Kerberos协议认证
GloryGod的博客
08-24 462
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务。
Kerberos安全认证-连载1-Kerberos简介
qq_32020645的博客
06-04 1898
数据安全防护及Kerberos简介
【清晰】Kerberos安全体系详解.pdf
07-20
kerberos认证的详解,详细描述了kdc中as与tgs的工作原理
Kerberos 认证流程
05-31
Kerberos 认证流程
渗透中的DPAPI和Kerberos协议.pdf
08-08
议题分享主要介绍了渗透中数据保护API架构逻辑和Kerberos认证协议的通信流程,同时从攻击者的角度谈了DPAPI和Kerberos协议的利用,最后给出常见攻击思路的防御和缓解措施。 1.1 DPAPI架构 1.2 DPAPI加密机制 1.3 ...
三步轻松理解Kerberos协议
06-19
Kerberos 是一种身份验证协议,它作为一种可信任的第三方认证服务,通过使用对称加密技术为客户 端/服务器应用程序提供强身份...在环境下,AD使用Kerberos协议进行验证,熟悉和掌握 Kerberos协议是渗透的基础。
渗透完全技巧.pdf
10-03
1.无凭证情况下 ...MS14-068 Kerberos SPN扫描 Kerberos的黄金门票 Kerberos的银票务 服务账号破解 凭证盗窃 NTLM relay Kerberos委派 地址解析协议 zerologon漏洞 CVE-2021-42278 && CVE-2021-42287
2021-02-28
m0_47432460的博客
02-28 290
内网渗透技术汇总 信息收集 网上各种前期信息收集的文章各种net view之类的太多了,一般想知道哪一台是控知道自己内网的DNS就可以了,一般控安装都有安装DNS有些不止一台,其次是通过扫描获取开放端口为389机器或者使用nltest命令查看。最后就是各种net view查看控是哪台主机。  nltest /DCLIST:pentest.com 这里利用PowerTools中的PowerView信息收集其实很多功能都是net命令这里只是以PowerShell方式实现  Powershell.exe
活动目录 kerberos 身份验证的过程 组策略
m0_54860576的博客
03-29 5354
活动目录 在Windows系统平台下进行集中管理,方便网络资源的检索,使企业可以轻松地管理,通过活动目录组件(Active Directory,简称AD)来实现目录服务。它将网络中的各种资源组合起来,杂的网络环境。 在Windows Server 2016平台下的Active Directory 服务包括 Active Directory 证书服务 (AD CS)、Active Directory 服务 (AD DS)、Active Directory 联合身份验证服务 (AD FS)、Active D
Kerberos安全体系详解---Kerberos的简单实现
欢迎来到打不死的小强的专栏
09-28 773
文章目录1. Kerberos简介1.1. 功能1.2. 概念2. 3次通信2.1. 你和验证服务2.2. 你和TGS2.3. 你和Http服务reference 1. Kerberos简介 1.1. 功能 一个安全认证协议 用tickets验证 避免本地保存密码和在互联网上传输密码 包含一个可信任的第三方 使用对称加密 客户端与服务器(非KDC)之间能够相互验证 Kerberos只提供一种功能——在网络上安全的完成用户的身份验证。它并不提供授权功能或者审计功能。 1.2. 概念 首次请求,三次通
kerberos trust
06-01
Kerberos Trust是指在Windows Active Directory环境中,通过使用Kerberos协议建立的之间的信任关系。 在Windows Active Directory中,如果有多个,这些之间需要相互信任才能实现跨资源访问和管理。Kerberos Trust是建立在Kerberos协议之上的一种安全的信任机制,它可以确保跨访问和管理的安全性和可靠性。 在Kerberos Trust中,每个都被称为Kerberos Realm,每个都有一个唯一的Kerberos Realm名称。当一个需要与另一个建立信任关系时,它需要将另一个Kerberos Realm名称添加到自己的信任列表中,并且需要向另一个Kerberos Realm发送一个信任请求。 这个信任请求会被发送到另一个控制器,然后由该控制器验证该请求,并返回一个加密的票据,证明该对请求的的信任。当一个用户需要访问另一个中的资源时,它需要使用该的凭据向自己所在的控制器进行身份验证,然后控制器将会为该用户生成一个加密的票据,该票据可以被发送到另一个的资源服务器进行验证,从而实现跨资源访问的安全性。 Kerberos Trust机制提供了一种安全、高效、可扩展的跨信任机制,可以帮助管理员更好地管理和保护跨资源的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值