1. 程式人生 > >使用ADManager Plus?自定義報表防止動態密碼×××

使用ADManager Plus?自定義報表防止動態密碼×××

AD Manager ADManager Plus AD域

在本博客中,我們將討論Kerberos預認證如何幫助減少密碼×××。我們也將討論本機工具為何無法成功提供已禁用Kerberos預驗證用戶賬戶列表。以及,如何簡單方便地檢測和啟用這些賬戶的預認證。 在Windows 環境下,Kerberos 認證使用密匙分發中心(KDC)來進行用戶和服務器身份驗證。KDC接收Kerberos用戶,使用其活動目錄 (AD)?服務數據庫檢測,並在成功驗證後分發權證。這聽起來像一個安全識別身份機制,對嗎?好,請稍等。?

Kerberos’ 認證過程仍很容易受到多種×××,包括密匙×××。
啟用Kerberos預認證可以阻止動態密匙×××。KDC在默認情況下對所有用戶帳戶進行預認證,但是管理員經常因為測試、自動化等等,在一些用戶帳戶上禁用Kerberos預認證。

技術分享圖片
預認證和如何抵禦動態密匙×××
當提交權證申請時,預認證通過密碼散列幫助用戶識別身份。權證申請也包括具體內容,如用戶時間戳、加密IP地址列表和權證有效期。當KDC收到申請,它通過AD密碼散列解密申請。如果解密成功,the KDC 開始分發權證;如果解密失敗,the KDC向用戶反饋錯誤。
啟用Kerberos 預認證時,用戶無法向KDC發送虛假請求,因為每個申請都有時間戳加密。發送申請時,KDC 檢查每一個申請的時間戳,確保不會早於或者同之前的申請相同。另外,KDC 同服務器時間比對每一個申請。如果申請時間戳晚於服務器時間5分鐘,請求就會被拒絕。如果KDC讀取到有效時間,可以確定不是之前的重復申請。
如果禁用預認證,×××者可以脫機,執行暴力×××破解密碼,並在不留下蹤跡的情況下完成身份驗證請求。如果啟用預認證,×××者每一次嘗試新密碼,都必須同KDC連接。盡管×××者可以多次執行,但每次預授權失敗時都會有KDC日誌。

如何識別已禁用的Kerberos預認證帳戶?
本地工具 vs. ADManager Plus
如果您進行域風險評估,會顯示有些用戶賬戶已禁用Kerberos預認證。 但是,無法提供哪些用戶已禁用。要列出禁用Kerberos預認證的用戶帳戶,您需要創建復雜的LDAP過濾器或PowerShell腳本,或者使用另一個工具。
使用ADManager Plus自定義報表功能,這樣,您可以輕松地鼠標一點識別未認證用戶賬戶,並且使用報表自行完成Kerberos預認證。???

該報表將幫助查找具有Kerberos預認證的用戶帳戶,這是在ADManager Plus的自定義報告中沒有Kerberos預驗證用戶帳戶,如圖1所示。
技術分享圖片
圖1.在ADManager Plus“用戶報表”下,可找到沒有Kerberos預認證的用戶帳戶報表。
從用戶賬戶列表,您可以核實是否Kerberos預認證應該禁用這些用戶。 如果一個賬戶需要預認證,您可以從報表中為這個賬戶Kerberos預認證, 如圖2所示。
技術分享圖片
圖2: 用戶賬戶修改
在這篇博客中,我們討論了Kerberos預認證及降低主動密碼×××的重要性。我們也看到如何簡單地檢測未進行Kerberos預認證的用戶,並且,僅僅幾個點擊就可以完成這些用戶的Kerberos預認證。怎麽樣,ADManager Plus 自定義報表功能強大吧 ?
閱讀更多關於?ADManager Plus自定義報表.?下載免費指南和視頻,創建您自定義的ADManager Plus 報表。

使用ADManager Plus?自定義報表防止動態密碼×××