对受感染的机器进行活动目录身份验证?

对受感染的机器进行活动目录身份验证?

假设我的域中有一台计算机已被未知攻击者入侵。如果我使用域凭据通过 RDP 远程登录该计算机,这会将我的凭据暴露给攻击者吗?

我知道 AD 在内部使用 kerberos,但我不清楚 RDP 客户端是否直接从域控制器获取 kerberos 票证,或者是否将登录信息发送到服务器,然后服务器获取票证。

需要澄清的是,运行 mstsc 的计算机是 Windows 7,而可能受到感染的机器是 2008 R2。

答案1

您可能需要调整您的期望,因为今天的攻击者比您想象的更有优势。

任何被入侵的 Windows 计算机,任何登录过该计算机的人,他们的令牌都会保留在内存中,直到计算机重新启动。入侵内存中的令牌并冒充这些帐户是可能的,而且这种做法已经广为人知好几年了。这些被入侵的令牌可用于通过这些凭据攻击网络上的其他系统。

还值得注意的是,尽管 Kerberos 令牌有有效期,但 Windows 进程令牌没有 - 它们是无限期的。这是一个特别奇怪的设计决定,因为身份验证令牌确实有一个有效期字段,但 Windows 不使用它。

http://www.mwrinfosecurity.com/assets/107/luke_jennings_mwrinfosecurity_MakingSenseOfRisk_one-token-to-rule-them-all2.ppt

答案2

它会以与在受感染机器的终端上输入凭据相同的方式暴露您的凭据(例如,可能根本不会,但很有可能)。虽然从 RDP6.0 开始支持 SSPI(尤其是 Kerberos),但通常mstsc不会获取 kerberos 票证;它会通过 RDP 连接发送您的击键(根据受感染机器的机器证书加密),然后 RDP 服务器会获取 kerberos 票证。

如果您想确保服务器无法窃取您的密码,您需要确定您使用 kerberos 通过 RDP 进行身份验证。您也可以使用基于证书(即智能卡)的身份验证 - 但请记住,除非另有配置,否则 RDP 在许多情况下将通过智能卡身份验证。

还要记住,窃取您的凭据并不是这里唯一的威胁。无论如何,目标机器在某个时候都会拥有您的票据授予票据,这意味着它将能够以您的身份执行操作,以保证票据授予票据的有效性。这基本上是会话固定。受感染的服务器也可能劫持您的会话。

简而言之,不,这不是特别安全。

相关内容