如何知道 Active Directory 是否正在使用 Kerberos 或 NTLM？

Question 1

我认为这个问题应该反过来。Active Directory 支持 Kerberos 和 NTLM。Windows 将首先尝试 Kerberos，如果所有要求均不满足，它将回退到 NTLM。

我举个例子，通过名称（如 \server1\share）访问文件共享将调用 Kerberos，如果获得适当的权限，应该会成功。但使用 IP 地址访问相同的文件共享将首先调用 Kerberos 并失败（因为 IP 地址没有 SPN），然后故障转移到 NTLM。

因此，确定您的程序如何尝试针对 AD 进行身份验证，并且应该告诉您正在使用哪种协议。

我很好奇想知道是什么促使你问你这个问题。

Answer

我认为这个问题应该反过来。Active Directory 支持 Kerberos 和 NTLM。Windows 将首先尝试 Kerberos，如果所有要求均不满足，它将回退到 NTLM。

我举个例子，通过名称（如 \server1\share）访问文件共享将调用 Kerberos，如果获得适当的权限，应该会成功。但使用 IP 地址访问相同的文件共享将首先调用 Kerberos 并失败（因为 IP 地址没有 SPN），然后故障转移到 NTLM。

因此，确定您的程序如何尝试针对 AD 进行身份验证，并且应该告诉您正在使用哪种协议。

我很好奇想知道是什么促使你问你这个问题。

Question 2

您可以查看活动 Kerberos 票证列表，以查看是否有针对您感兴趣的服务的票证，例如通过运行清单文件。

如果你破解了注册表。

Answer

您可以查看活动 Kerberos 票证列表，以查看是否有针对您感兴趣的服务的票证，例如通过运行清单文件。

如果你破解了注册表。

Question 3

无论计算机是服务器还是工作站，您都应该审核登录事件。这有助于确定哪些用户正在访问您的系统，并解决与安全相关的问题。

您可以使用组策略修改审核策略：开始...运行...gpedit.msc...计算机配置、Windows 设置、安全设置、本地策略、审核策略、“审核登录事件”。选中“成功”和“失败”复选框。尝试注销并登录以查看 Windows 安全事件日志中的一些典型 540 事件。

Answer

无论计算机是服务器还是工作站，您都应该审核登录事件。这有助于确定哪些用户正在访问您的系统，并解决与安全相关的问题。

您可以使用组策略修改审核策略：开始...运行...gpedit.msc...计算机配置、Windows 设置、安全设置、本地策略、审核策略、“审核登录事件”。选中“成功”和“失败”复选框。尝试注销并登录以查看 Windows 安全事件日志中的一些典型 540 事件。

Question 4

假设您正在审核登录事件，请检查您的安全事件日志并查找 540 个事件。它们将告诉您特定身份验证是使用 Kerberos 还是 NTLM 完成的。

Answer

假设您正在审核登录事件，请检查您的安全事件日志并查找 540 个事件。它们将告诉您特定身份验证是使用 Kerberos 还是 NTLM 完成的。

相关内容