所以我的问题已经从标题中得到了解释。我想知道如何检测用户是否使用 keytab 或密码对域控制器进行身份验证。我正在考虑检查日志文件以查看使用了哪个会话,如果可能的话,我不确定它是否会告诉我一些具体的东西来区分它们?
更新 1:
我正在考虑检查日志文件以查看已使用哪个会话,如果可能的话,我不确定它是否会告诉我一些具体的东西来区分它们?
这还没有调查
答案1
这种情况下,如果用户使用keytab,在keytab生成之后可以通过下面这个命令:例如:
ktpass -out centos1-dev-local.keytab -mapUser [email protected] +rndPass -mapOp set +DumpSalt -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -princ HTTP/[email protected]
用户登录名将更改为 SPN,以便 Kerberos 客户端可以找到它。请注意,复选框“此帐户支持 Kerberos AES 256 位加密”在下面账户选项已选中。密钥表生成后必须手动选中该复选框,否则您将收到类似“无法找到适当类型的密钥来解密 AP REP...”的错误。
通过这个,我们可以使用 PowerShell 通过查找 keytab 来查找用户登录名或者msDS-支持的加密类型属性。