400-660-8680
在本博客中,我们将讨论Kerberos预认证如何帮助减少密码攻击。我们也将讨论本机工具为何无法成功提供已禁用Kerberos预验证用户账户列表。以及,如何简单方便地检测和启用这些账户的预认证。
在Windows 环境下,Kerberos 认证使用密匙分发中心(KDC)来进行用户和服务器身份验证。KDC接收Kerberos用户,使用其活动目录 (AD) 服务数据库检测,并在成功验证后分发权证。
Kerberos’ 认证过程仍很容易受到多种攻击,包括密匙攻击。启用Kerberos预认证可以阻止动态密匙攻击。KDC在默认情况下对所有用户帐户进行预认证,但是管理员经常因为测试、自动化等等,在一些用户帐户上禁用Kerberos预认证。
预认证和如何抵御动态密匙攻击
当提交权证申请时,预认证通过密码散列帮助用户识别身份。权证申请也包括具体内容,如用户时间戳、加密IP地址列表和权证有效期。当KDC收到申请,它通过AD密码散列解密申请。如果解密成功,the KDC 开始分发权证;如果解密失败,the KDC向用户反馈错误。
启用Kerberos 预认证时,用户无法向KDC发送虚假请求,因为每个申请都有时间戳加密。发送申请时,KDC 检查每一个申请的时间戳,确保不会早于或者同之前的申请相同。另外,KDC 同服务器时间比对每一个申请。如果申请时间戳晚于服务器时间5分钟,请求就会被拒绝。如果KDC读取到有效时间,可以确定不是之前的重复申请。
如果禁用预认证,攻击者可以脱机,执行暴力攻击破解密码,并在不留下踪迹的情况下完成身份验证请求。如果启用预认证,攻击者每一次尝试新密码,都必须同KDC连接。尽管攻击者可以多次执行,但每次预授权失败时都会有KDC日志。
在这篇博客中,我们讨论了Kerberos预认证及降低主动密码攻击的重要性。我们也看到如何简单地检测未进行Kerberos预认证的用户,并且,仅仅几个点击就可以完成这些用户的Kerberos预认证。怎么样,ADManager Plus 自定义报表功能强大吧 ?
