Kerberos無約束委派的攻擊和防禦

2022-07-03 16:00:27 字數 2822 閱讀 3603

當active directory首次與">windows 2000 server一起發布時,microsoft就提供了一種簡單的機制來支援使用者通過">kerberos對web伺服器進行身份驗證並需要授權使用者更新後端資料庫伺服器上的記錄的方案。這通常被稱為">kerberos double-hop issue(雙躍點問題">),需要委派才能使web伺服器在修改資料庫記錄時模擬使用者操作。

microsoft在windows 2000中已新增了">kerberos「無約束委派」功能。域管理員可以通過勾選第二個核取方塊來啟用此委派級別。第三個核取方塊用於">「約束委派」,它要求在啟用了委派的計算機上列出特定的">kerberos服務。

powershell查詢kerberos無約束委派:

使用active directory powershell模組的">get-adcomputer發現kerberos無約束委派的計算機是比較容易。

無約束的委託:trustedfordelegation = true

約束委派:trustedtoauthfordelegation = true

讓我們遵循標準的kerberos通訊流程,這是乙個描述">kerberos如何工作的快速示例:

使用者使用使用者名稱和密碼登入

1a.密碼轉換為ntlm雜湊且時間戳用雜湊加密,並把它作為身份驗證票證(tgt)請求(">as-req)的身份驗證者傳送到kdc(金鑰分配中心)

1b.域控制器(kdc)檢查使用者資訊(登入限制,組成員等)並建立票據授予票證(">tgt)

2. tgt經過加密和簽名並傳送給使用者(as-rep)。只有域中的kerberos服務(">krbtgt)才能開啟和讀取tgt資料

3.當請求票證授予服務(tgs)票證(tgs-req)時,使用者將">tgt傳送給dc。dc開啟">tgt並驗證pac校驗----如果">dc可以開啟票證並校驗和檢出,則tgt 是有效的,">tgt中的資料被有效地複製來建立tgs票證

4.使用目標服務帳戶的ntlm密碼雜湊對tgs進行加密並傳送給使用者(">tgs-rep)

5. 使用者連線到伺服器託管服務的適當的埠並傳送給tgs(ap-req)。

該服務使用其ntlm密碼雜湊開啟tgs票證。

注意:為了使應用程式伺服器配置「kerberos unconstrained

delegation」,域管理員或企業管理員需要在域中的計算機帳戶上配置此設定。此許可權可以委派給其他組,因此請謹慎在">active directory中授權使用者許可權。

1.通過管理員或服務帳戶攻擊伺服器。

2.通過社會工程學使用domain admin連線到伺服器上的任何服務,並且具有無約束委派許可權。

3.當管理員連線到此服務時,管理員的tgs服務票證(使用">tgt)將傳送到伺服器並存入lsass中,以方便以後使用。

4.可以提取並重新使用域管理員身份驗證(tgt)票證(直到票有效期為止)。

5.可以立即使用該票證以獲取域krbtgt帳戶密碼雜湊(當域管理員被洩露時),在這種情況下,我們使用">powershell遠端操作作為域管理員連線到域控制器。

1.不要使用kerberos無約束委派許可權"> -----配置需要使用約束委派進行委派的伺服器

2.將所有高許可權的管理員帳戶配置為「帳戶敏感且無法委派">」

3.從windows server 2012 r2域功能級別開始提供的">「受保護使用者」組

也可以緩解此問題,因為此組中的帳戶不允許委派。

注意:

當受保護使用者的組帳戶公升級到windows

server 2012 r2域功能級別時,將自動應用基於域控制器的保護。對windows server

2012 r2域進行身份驗證的受保護使用者組的成員無法再使用以下身份進行身份驗證:windows 8.1裝置連線到">windows server 2012 r2主機時.

預設憑據委派(credssp):即使啟用了">「 允許委派預設憑據組策略」設定,也不會快取純文字密碼憑據。

windows摘要(windows digest):即使啟用了">windows摘要,也不會快取純文字密碼憑據。

ntlm:nt單向函式ntowf的結果不會被快取

kerberos長期金鑰:來自kerberos初始">tgt請求的金鑰通常被快取,因此不會中斷身份驗證請求。對於此組中的帳戶,kerberos協議會在每個請求中驗證身份驗證。

離線登入:登入時不會建立快取的驗證程式

無約束優化問題

線性搜尋下降演算法 常用的終止準則 left nabla f left x right right leq epsilon 選擇步長 基於區間的直接搜尋法 非精確搜尋準則 下降方向 不同的下降方向選取方式就有了不同的演算法 收斂性 收斂速度 基本思想 給定初始點 x 0 依次沿著座標軸 e 1,do...

無約束最優化二

2.1 a k合理性討論 如下將要討論關於a k需要滿足的兩個條件,當a k滿足這兩個條件後,就可以認為從x k點移動到x k 1點的步長已經確定下來了。第乙個條件為sufficient decrease condition,從直觀角度來看,該條件主要要用保證x k 1點的函式值要小於x k點的函式...

無約束最優化三

2.2 a k步長的選擇 了解了a k的合理性之後,就相當於獲得了標尺,在此基礎上我們可以選擇合適的策略來求取a k。所有的line search過程在計算每一步的a k時,均需要提供乙個初始點a 0,然後再此基礎上生成一系列的,直到a i滿足2.1節所規定的條件為止,此時該a k即被確定為a i,...