章节9:Windows凭证理论
NTLM 认证
在之前的内容中,我们接触到了多种类型的凭证,包括了明文密码、NTLM 哈希、AES 256 密钥、NetNTLM 等。掌握明文密码显然是一项优势,然而,我们不是总能获得明文密码的,更多时候我们会...
SAM 安全账户管理器
安全帐户管理器 (SAM) 数据库以 NTLM 哈希格式存储本地 Windows 凭证。在本地登录期间,用户输入密码后,本地安全机构 (LSA) 通过根据存储在 SAM 中的数据验证凭证来验证登...
LSA 机密
LSA,即 Local Security Authority,本地安全机构,是 Microsoft Windows 操作系统中安全子系统的核心组件。本地安全机构 (LSA) 负责管理系统的交互式...
LSASS 本地安全机构子系统服务
在上个小节讨论 LSA 机密的时候,提及了一下 LSA,即本地安全机构。在 Windows 上,有这么一个进程 lsass.exe,绝对是攻击者的首要攻击目标之一。虽然我们中的一些人知道可以从 ...
PPL
随着凭证导出被攻击者的滥用,微软也开发出了相应的防御措施,例如 PPL。对于 IT 管理员,PPL 非常容易部署,是一个 quick-win。虽然 PPL 是可以被绕过的,但还是给导出凭证的操作...
Credential Guard 凭据保护
Windows Defender Credential Guard 凭据保护 是一种虚拟化安全技术以防止 NTLM 哈希、Kerberos 票据、应用程序所存储的凭证的窃取进而组织。开启了凭据保...
域缓存凭证
当域用户曾经登陆过域主机,便会将凭证缓存下来,以防联系不上域控制器的时候也能实现本地登陆。一个实际的情景可以是,某员工携带着笔记本出差。域缓存凭证不能直接地用于认证,但是可以将其离线破解,尝试还...
DPAPI 数据保护应用接口
DPAPI,即数据保护应用接口,是一个提供加解密数据块的 Windows组件。它使用与指定用户或主机绑定的密码学密钥并且允许原生 Windows 功能以及第三方应用来透明地保护/解除保护给用户的...
GPP 密码
注:本小节作为知识拓展,因为本 Lab 环境版本远高于 GPP 密码盛行的版本,因此尚未集成此内容。 为了阻止针对本地管理员密码的攻击,Windows曾经引入了 组策略偏好 Group Pol...
NTDS.DIT
NTDS.DIT 文件是域控制器上存储 AD 数据的数据库,包含了域内对象的所有信息,例如用户,组,计算机,以及其他对象。更重要的是,该文件还存储域中所有用户的密码哈希,包括域管理员的。该文件位...
Windows 认证理论
我们在之前已经讨论了 NTLM 认证、Kerberos 认证、LSA 与 LSASS、SAM 等概念。在这小节,我们将对 Windows 认证理论做一个整合、归纳以及延伸。 本章节所使用的原理...
哈希传递 Pass The Hash
Pass The Hash,即哈希传递,是一种可以让我们使用 NTLM 哈希对 Windows 服务进行认证,而无需明文密码的技术。在上一个小节,我们讨论了如果只有 NTLM 哈希,要实现用户模...
密钥传递 Overpass The Hash / Pass The Key
Overpass The Hash,又称为 Pass The Key,密钥传递,是 PTH 的一种延伸,我们通常在 NTLM 认证被禁用、只有 Kerberos 认证可用的情况下使用。相比与 P...
票据传递 Pass The Ticket
票据传递技术类似于密钥传递技术,只不过相比使用密钥,用的是票据。在讲解 PTT 之前,我们先来了解一下在 Windows 与 Linux 平台上有关域凭证的文件,它们可以通过工具实现互相转换。 ...
LAPS 本地管理员密码解决方案
为了进一步保护本地管理员的凭证,本地管理员密码解决方案 (LAPS) 是一种用于管理域主机上的本地管理员凭证的解决方案。 本地管理员帐户可以是默认帐户或自定义帐户。部署 LAPS 后,密码是随机...
gMSA 组托管服务账号
注:本小节作为知识拓展,本 Lab 尚未集成此内容。 gMSA,即组托管服务帐号,提供了对分布在多台服务器上的服务帐号的自动化的密码管理、SPN管理、以及委派管理权。使用 gMSA 有助于防御...
第9章课后作业
练习 1:导出任意一主机的 SAM 数据库,分别采用在线和离线方法 2:导出任意一主机的 LSA 机密,分别采用在线和离线方法 3:导出任意一主机 (除了 Srv01) 的 LSASS 内...