对受感染的机器进行活动目录身份验证？

Question 1

您可能需要调整您的期望，因为今天的攻击者比您想象的更有优势。

任何被入侵的 Windows 计算机，任何登录过该计算机的人，他们的令牌都会保留在内存中，直到计算机重新启动。入侵内存中的令牌并冒充这些帐户是可能的，而且这种做法已经广为人知好几年了。这些被入侵的令牌可用于通过这些凭据攻击网络上的其他系统。

还值得注意的是，尽管 Kerberos 令牌有有效期，但 Windows 进程令牌没有 - 它们是无限期的。这是一个特别奇怪的设计决定，因为身份验证令牌确实有一个有效期字段，但 Windows 不使用它。

http://www.mwrinfosecurity.com/assets/107/luke_jennings_mwrinfosecurity_MakingSenseOfRisk_one-token-to-rule-them-all2.ppt

Answer

您可能需要调整您的期望，因为今天的攻击者比您想象的更有优势。

任何被入侵的 Windows 计算机，任何登录过该计算机的人，他们的令牌都会保留在内存中，直到计算机重新启动。入侵内存中的令牌并冒充这些帐户是可能的，而且这种做法已经广为人知好几年了。这些被入侵的令牌可用于通过这些凭据攻击网络上的其他系统。

还值得注意的是，尽管 Kerberos 令牌有有效期，但 Windows 进程令牌没有 - 它们是无限期的。这是一个特别奇怪的设计决定，因为身份验证令牌确实有一个有效期字段，但 Windows 不使用它。

http://www.mwrinfosecurity.com/assets/107/luke_jennings_mwrinfosecurity_MakingSenseOfRisk_one-token-to-rule-them-all2.ppt

Question 2

它会以与在受感染机器的终端上输入凭据相同的方式暴露您的凭据（例如，可能根本不会，但很有可能）。虽然从 RDP6.0 开始支持 SSPI（尤其是 Kerberos），但通常mstsc不会获取 kerberos 票证；它会通过 RDP 连接发送您的击键（根据受感染机器的机器证书加密），然后 RDP 服务器会获取 kerberos 票证。

如果您想确保服务器无法窃取您的密码，您需要确定您使用 kerberos 通过 RDP 进行身份验证。您也可以使用基于证书（即智能卡）的身份验证 - 但请记住，除非另有配置，否则 RDP 在许多情况下将通过智能卡身份验证。

还要记住，窃取您的凭据并不是这里唯一的威胁。无论如何，目标机器在某个时候都会拥有您的票据授予票据，这意味着它将能够以您的身份执行操作，以保证票据授予票据的有效性。这基本上是会话固定。受感染的服务器也可能劫持您的会话。

简而言之，不，这不是特别安全。

Answer

它会以与在受感染机器的终端上输入凭据相同的方式暴露您的凭据（例如，可能根本不会，但很有可能）。虽然从 RDP6.0 开始支持 SSPI（尤其是 Kerberos），但通常mstsc不会获取 kerberos 票证；它会通过 RDP 连接发送您的击键（根据受感染机器的机器证书加密），然后 RDP 服务器会获取 kerberos 票证。

如果您想确保服务器无法窃取您的密码，您需要确定您使用 kerberos 通过 RDP 进行身份验证。您也可以使用基于证书（即智能卡）的身份验证 - 但请记住，除非另有配置，否则 RDP 在许多情况下将通过智能卡身份验证。

还要记住，窃取您的凭据并不是这里唯一的威胁。无论如何，目标机器在某个时候都会拥有您的票据授予票据，这意味着它将能够以您的身份执行操作，以保证票据授予票据的有效性。这基本上是会话固定。受感染的服务器也可能劫持您的会话。

简而言之，不，这不是特别安全。

对受感染的机器进行活动目录身份验证？

答案1

答案2

相关内容