半岛官方网站下载

【48812】针对Windows域控的新式NTLM中继进犯可彻底操控AD域控

时间: 2024-05-21 15:49:26 作者: 智能驾驶域产品

  在最近的网络安全研讨中发现,一种针对Windows域控服务器的新式NTLM中继进犯办法曝光,该中继进犯办法被命名为DFSCoerce,其中心原理是使用分布式文件体系 (DFS)的命名空间办理协议 (MS-DFSNM) 来操控Windows域服务器。

  依据我国网络安全职业门户极牛网的整理,MS-DFSNM是为了便利办理分布式文件体系的装备,而供给的一个长途过程调用RPC接口。

  NTLM(NT Lan Manager)中继进犯模型中,歹意方坐落客户端与服务器之间,阻拦和中继经过验证的身份验证恳求,以取得对网络资源的没有经过授权的拜访,然后有效地在AD域控环境中取得开始立足点。

  DFSCoerce进犯办法和一个名为PetitPotam的进犯办法非常相似,该PetitPotam进犯办法是乱用微软的加密文件体系长途协议 (MS-EFSRPC) 来强制Windows域控服务器经过进犯者操控下的中继进行身份验证,以此让进犯者接收整个域控。

  依据安全研讨人员对该进犯方法的进犯链做多元化的剖析,经过将来自域操控器的 NTLM 身份验证恳求中继到证书颁布组织的证书注册服务,进犯者可以得到一个用于拜访域控的证书。

  为了缓解该 NTLM 中继进犯,微软主张启用身份验证扩展维护 (EPA)、SMB 签名和封闭域控服务器上的HTTP通讯等缓解办法。

上一篇:【48812】交融科技与规划智界S7当选年青家庭首选才智车型

下一篇:宁盾身份域管替代AD域控为信创电脑、应用提供统一管理