在基于活动目录的网络上,主机如何验证域控制器?攻击者是否有可能冒充域控制器?
PS:我在获取有关其在低级别上如何工作的信息时遇到问题,我想是因为我没有可搜索的术语,'lil help?
客户端如何对域控制器进行身份验证
信息安全
视窗
活动目录
2021-09-12 01:08:20
2个回答
如果已经建立了信任关系,则使用 Kerberos。
NTLM 用于
- 使用 IP 地址对机器进行身份验证
- 如果计算机位于使用 NTLM 的不同林中
- 目标机器不在域中
- 机器不在域中
- 如果防火墙阻止了 kerberos 流量
Microsoft 在http://technet.microsoft.com/en-us/library/bb742516.aspx上有关于他们使用 kerberos 的信息。
您还可以在以下链接中找到更多信息:
身份验证确实基于 Kerberos。在 Active Directory 中,KDC(密钥分发中心)的角色由域控制器 (DC) 扮演。攻击者有可能通过将 Kerberos 身份验证请求定向到错误的 DC 来冒充域控制器。这可以通过在 DNS 中为 DC 输入错误的 IP 地址来完成。通过在主机文件 (C:\Windows\System32\drivers\etc\hosts) 中为其提供错误的 IP 地址,可以“模拟”DNS 本身。要了解为什么在 Kerberos 版本 5 中发生这种情况的几率很低,这里有一些背景信息:
- Kerberos 概述 – 图。4.2 来自 Stallings, W., "Network Security Essentials: Applications and Standards", 第 3 版, 2007, Prentice Hall (副本可以通过 PPT 幻灯片和谷歌搜索找到)
- Kerberos 演示:http ://williams.comp.ncat.edu/IA_visualization_labs/security_visual_tools/kerberos/kerberos_demo.html
- 有关 Active Directory 中 Kerberos 的详细信息http://windowsitpro.com/security/kerberos-active-directory