- 综合排序
- 最热优先
- 最新优先
- 来自专栏《ATT&CK视角下的红蓝攻防对抗》
Windows安全认证机制之NTLM本地认证
NTLM本地登录认证 当我们在一台Windows机器上面创建用户的时候,该用户的密码会加密储存在一个SAM(Security Account Manager 安全账号管理器)中,是Windows操作系统管理用户帐户的安全所使用的一种机制 " + binascii.hexlify(hashlib.new('md4', binhex.encode('utf-16le')).digest())4.本地登录认证流程假设当Windows操作系统进入登录页面时 NTLM网络认证1.NTLM认证协议NTLM(Windows NT LAN Manager)是基于一种Challenge/Response挑战响应验证机制,用于对域上主机进行身份验证。 NTLM V2 协议:NTLM V2也可称为NTLM第二版协议,是NTLM协议V1的改进版本,其通过强化认证协议及安全身份认证机制的方式来增加NTLM的安全性。 4.NTLM协议认证方式NTLM协议的认证方式可以划分成交互式NTLM身份验证”和“非交互式NTLM身份验证”两种类型,如下所示。
2.1K10编辑于 2024-01-22 - 来自专栏《ATT&CK视角下的红蓝攻防对抗》
Windows安全认证机制之Kerberos 域认证
Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如共享密钥)实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取 、修改和插入数据的情况下保证通讯安全。 4)LDAPS:636。3.Kerberos专用名词名词作用介绍AS身份认证服务(验证Client身份)。KDC密钥分发中心(域内最重要的服务器,域控制器)。 4)Client:客户端是指需要访问资源的用户,如查看共享文件、查询数据库或远程连接。客户端在访问资源之前需要进行身份验证。 4)用户可以将ST呈现给他们想要访问的服务,该服务可以对用户进行身份验证,并根据TGS中包含的数据做出授权决策。6.
1.8K10编辑于 2024-01-23 - 来自专栏《ATT&CK视角下的红蓝攻防对抗》
Windows安全认证机制之Windows常见协议
4.LLMNR防御措施 1)点击开始——运行——输入命令——打开本地组策略管理器,如图1-3所示。 gpedit.msc 2)打开计算机配置——管理模版——网络——DNS客户端,如图1-4所示。 4)将关闭多播名称解析中的状态改为“已禁用”,如图1-6所示。 2.NETBIOS协议 1. 4)如果子网域其他主机无响应,则读取本地的lmhosts(C:\Windows\System32\drivers\etc\)文件。 4. NETBIOS防御措施 1)输入命令ncpa.cpl,打开网络连接,如图1-33所示。 2)通过“本地连接——属性—Internet协议版本4——属性——高级”来配置,如图1-9、图1-10、图1-11所示。
89310编辑于 2024-01-24 - 来自专栏yuancao博客
windows 认证机制
The Ticket 1(Golden Ticket) Pass The Ticket 2(Silver Ticket) 黄金、白银票据的区别 Windows认证协议 Windows认证协议有两种: NTLM认证 Windwos 密码hash 早期SMB协议在网络上传输明文口令,后来出现"LAN Manager Challenge/Response"验证机制,简称LM,由于容易被破解,微软提出了windows NT挑战/响应机制,称之为NTLM。 票据(Ticket)用来安全的在认证服务器和用户请求的服务之间传递用户的身份,同时也传递附加信息。用来保证使用Ticket的用户必须是Ticket中指定的用户。 那么他们会认为这是假的是伪造的,不同意下一步的认证。 下图揭示了Kerberos整个认证的过程。 图解 ? ? 利用方式 两种验证方式看起来都无懈可击,是不是就真的安全了呢? 当然不。
1.2K32发布于 2020-10-10 - 来自专栏EMQ 物联网
MQTT 5.0 中的安全认证机制:增强认证介绍
为了进一步保障物联网系统的安全,在本期文章中,我们将一起了解另一种认证机制:增强认证。什么是增强认证?增强认证是 MQTT 5.0 新引入的认证机制。 事实上,我们用认证框架来形容它更为适合,因为它允许我们套用各种比密码认证更加安全的身份验证方法。不过更安全,另一方面则意味着更复杂,这类身份验证方法例如 SCRAM 通常都要求一次以上的认证数据往返。 这使得我们可以将质询-响应风格的 SASL 机制引入到 MQTT 中。增强认证解决了什么问题?在我们谈论这个问题之前,我们需要知道,为什么密码认证仍然不够安全? 常见的可用于增强认证的 SASL 机制DIGEST-MD5DIGEST-MD5 是在简单认证安全层(SASL)框架下的一种身份验证机制。 增强认证在 MQTT 中是如何运行的?以 SCRAM 机制为例,我们来看一下在 MQTT 中增强认证是如何进行的。
1.1K00编辑于 2023-07-05 - 来自专栏Lixj's Blog
Kafka的安全认证机制-SASLSCRAM验证
最近有跟视频云对接,用到 Kafka 消息队列,发现公司使用了安全认证机制 SASL/SCRAM,所以研究一下这方面的内容。 (以前公司好像没有使用安全认证) kafka 提供了多种安全认证机制,主要分为 SSL 和 SASL 两大类。 前期准备 本次主要是在 windows 进行验证测试。 重启后发现在无认证的情况下无法直接连接上 kafka,需要配置相关内容。 Copyright: 采用 知识共享署名4.0 国际许可协议进行许可 Links: https://lixj.fun/archives/kafka的安全认证机制-saslscram验证
12K21编辑于 2022-06-10 - 来自专栏信安本原
Windows认证 | Windows本地认证
Windows的登陆密码是储存在系统本地的SAM文件中的,在登陆Windows的时候,系统会将用户输入的密码与SAM文件中的密码进行对比,如果相同,则认证成功。 目前在Windows中所使用的密码hash被称为NTLM hash,全称为:NT LAN Manager,它是一个由数字和字母组成的32位的值,是经过hex、Unicode、MD4三层加密后得到的。 注:winlogon是用来管理用户登陆和登出的,lsass是用于本地安全和登陆策略的 说完了NTLM hash再说一下LM hash,LM hash是NTLM hash的前身,它本身是非常脆弱的,对于它的生成规则就不多说了 @#$%,这就意味着它被暴力破解出来的可能性是非常大的,而且通过LM hash的生成机制,还能很清楚的看出来如果密码是否大于等于7位,因为当位数不足时,后面会用0来补全,所以当我们的密码位数小于7时,最终生成的 LM hash的末尾字符是一个恒定不变的值:AA-D3-B4-35-B5-14-04-EE。
2.9K20发布于 2020-03-10 - 来自专栏linux运维
用户认证问题:用户认证机制设置不当,导致安全风险
:仅使用密码认证,缺乏多因素认证(MFA)。 :仅使用密码进行 SSH 登录,存在安全风险。 解决方案:启用 SSH 密钥认证,并禁用密码认证。 定期检查和更新认证策略定期检查和更新用户认证策略是非常重要的,以确保系统始终处于最佳的安全状态。3.1 定期检查建议:每周或每月检查一次用户认证配置,确保没有不必要的宽松策略。 3.2 更新策略建议:根据系统的变化和新的安全威胁,及时更新用户认证策略。4.
51410编辑于 2025-02-06 - 来自专栏大内老A
Windows安全认证是如何进行的?
最近一段时间都在折腾安全(Security)方面的东西,比如Windows认证、非对称加密、数字证书、数字签名、TLS/SSL、WS-Security等。 Windows认证协议有两种NTLM(NT LAN Manager)和Kerberos,前者主要应用于用于Windows NT 和 Windows 2000 Server(or Later) 工作组环境 (以上的内容对应流程图中的步骤3、4) 四、凭票入场 ? 客户端接收到TGS回复后,通过缓存的Logon Session Key解密获取Service Session Key。 此外,由于本文对Windows底层的知识有限,不能确保所有的内容都是完全正确,如有错误,还往不吝指正。 Windows安全认证是如何进行的? [Kerberos篇] Windows安全认证是如何进行的?[NTLM篇]
1.8K80发布于 2018-02-07 - 来自专栏大内老A
Windows安全认证是如何进行的?
《上篇》中我们介绍Kerberos认证的整个流程。在允许的环境下,Kerberos是首选的认证方式。在这之前,Windows主要采用另一种认证协议——NTLM(NT Lan Manager)。 在AD域环境中,如果需要认证Windows NT系统,也必须采用NTLM。较之Kerberos,基于NTLM的认证过程要简单很多。 NTLM采用一种质询/应答(Challenge/Response)消息交换模式,右图反映了Windows2000下整个NTLM认证流程。 步骤一 用户通过输入Windows帐号和密码登录客户端主机。 在登录之前,客户端会缓存输入密码的哈希值,原始密码会被丢弃(“原始密码在任何情况下都不能被缓存”,这是一条基本的安全准则)。 Windows安全认证是如何进行的?[Kerberos篇] Windows安全认证是如何进行的?[NTLM篇]
1.7K70发布于 2018-02-07 - 来自专栏信安本原
Windows认证 | 网络认证
这里主要说一下基于挑战(Chalenge)/响应(Response)认证机制NTLM协议,对于之前的SMB协议等等就不再进行过多的说明。 NTLM 协议是一种基于挑战(Chalenge)/响应(Response)认证机制,仅支持Windows的网络认证协议。 质询,这一步便是Chalenge/Response认证机制的关键之处,下面会介绍这里的步骤。 质询到这里就结束了,最后一步就是属于验证的机制了 server在收到Response后,将其与Chalenge1进行比较,如果相同,则验证成功 大致的流程就是这样子了 ? 至于利用工具的话 1.msf有下面的模块 exploit/windows/smb/psexec_psh 2.kali有pth工具集 ?
2.7K20发布于 2020-03-10 - 来自专栏信安本原
Windows认证 | 域认证
在Windows中的身份认证方式有很多,也在不断的升级,但是在域中,依旧使用的是Kerberos认证。 Kerberos 是一种网络认证协议,它的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据,也就是说它的认证完全是从一个不安全的网络环境出发进行认证的 而在Windows当中,域控DC(Domain Controller)充当了KDC的角色,还有一点需要注意的是,它有一个类似于本地SAM一样的数据库AD(Account Database),里面存储着所有 ,重复第一步中的操作,重新去请求TGT(因为Kerberos在设计的时候,就假设是处于一个不安全的环境中的,是假设它中间存在中间人攻击的,所以依靠时间戳来限制)。 其实整个Kerberos认证的流程就是不断交换密钥,使用对称加密算法,解密验证身份和时间戳,最后达到认证的效果。
3.7K10发布于 2020-03-10 - 来自专栏ffffffff0x
Windows认证原理:Kerberos认证
前言 在之前的文章中,我们介绍了windows域环境的结构和组成部分。本文,我们将介绍域环境中使用的kerberos认证协议,并着手分析认证过程。 --- Kerberos Kerberos 协议 Kerberos 是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。 该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。 [4.png] 用 ST 服务票据双向认证 客户端接收到 TGS 回复后,通过缓存的 Logon Session Key 解密得到原始 Service Session Key,同时它也得到了进入服务器 在实际应用中,Kerberos不仅用于windows域的环境,linux机器也可以配置进行认证,但关键的流程是一致的。 --- 本文作者 r0fus0d
3K11发布于 2021-01-09 - 来自专栏BeJavaGod
app与后台交互之间的几种安全认证机制
1、HTTP简单基本认证方式 这个是早期交互用得比较多的一种方式,主要是使用用户名和密码来交互,由于在每次的交互中,用户名和密码都会暴露给第三方,那么这么做是不可取的,风险十分大,所以这种认证方式并没有流传开来 这个token可以由你来限制时间,第三方获取你指定的信息,从而达到了一个安全认证的效果。 4、token机制 用户登陆后的信息以token存入session或者redis的同时会生成一个cookie,来保存到浏览器,如果是手机端则把这个token存入其他媒介,存活时间与session 5、json web token(JWT) JWT的机制和之前说的也是差不多,只不过封装了很多,并且安全性得到了一定的提高。 ? 这几种认证方式中JWT是最安全的,并且可以防范一定的攻击。所以比较推荐。
1.6K40发布于 2018-04-04 - 来自专栏全栈程序员必看
app与后台交互之间的几种安全认证机制
1、HTTP简单基本认证方式 这个是早期交互用得比较多的一种方式,主要是使用用户名和密码来交互,由于在每次的交互中,用户名和密码都会暴露给第三方,那么这么做是不可取的,风险十分大,所以这种认证方式并没有流传开来 这个token可以由你来限制时间,第三方获取你指定的信息,从而达到了一个安全认证的效果。 4、token机制 用户登陆后的信息以token存入session或者redis的同时会生成一个cookie,来保存到浏览器,如果是手机端则把这个token存入其他媒介,存活时间与session 5、json web token(JWT) JWT的机制和之前说的也是差不多,只不过封装了很多,并且安全性得到了一定的提高。 这几种认证方式中JWT是最安全的,并且可以防范一定的攻击。所以比较推荐。
1.3K20编辑于 2022-07-19 - 来自专栏鸿鹄实验室
Windows认证--NTLM
Windows 身份验证机制主要有NTLM和Kerberos两种,前者主要用于本地以及工作组环境,而后者主要用于域环境.还有一种LM认证,但现在基本淘汰了,在这就不再做过多的解释. Windows中不会保存明文密码,只会保存密码的hash,本机用户的密码hash是存放在SAM文件里而域内用户的密码hash是存在DC的ntds.dit文件里 什么是SAM 安全账号管理器(Security Accounts Manager),是Windows管理用户账户安全的一种机制,用来存储密码的数据库文件.此文件存储密码的Hash也就是LM Hash和NTLM Hash. 加密结果和mimikatz抓到的NTLM Hash一致 本地认证 当用户进行开启、注销等需要认证的时候,windows会调用winlogon.exe接受我们输入的密码,然后会将密码交给lsass.exe 网络认证 NTLM在网络环境中采用的是一种Challenge/Response验证机制,由三个消息组成:Type1(协商),Type2(质询),Type3(身份验证) 首先客户端向服务端发送Type1消息去协商需要认证的主体
1.6K40编辑于 2022-11-02 - 来自专栏鸿鹄实验室
Windows认证--Kerberos
它能够为网络中通信的双方提供严格的身份验证服务,确保通信双方身份的真实性和安全性。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全。 Ticket):票据授予服务器,用来发放整个认证过程以及客户端访问服务端时所需要的服务授予票据(Ticket) AD(Account Database)账户数据库,一个类似于Windows本地SAM的数据库 : 1.NTLM和Kerberos的主要区别在于前者是基于挑战/响应的身份验证协议,而后者是基于票据的身份验证协议 2.Kerberos的安全性高于NTLM 3.Kerberos提供了相互身份验证功能, NTLM不支持 4.Kerberos支持委派和模拟,NTLM仅支持模拟 5.NTLM协议下的身份验证过程涉及客户端和服务器,Kerberos写一下可靠的第三方对身份验证过程是保密的 PAC 在Kerberos /-T指定域 -Q指定对应服务 */*表示所有服务 参考 https://seevae.github.io/2020/09/12/%E8%AF%A6%E8%A7%A3kerberos%E8%AE%A4%
1.8K80编辑于 2022-11-02 - 来自专栏代码永生,思想不朽
实战ZMQ4.x的安全机制
ZMQ社区在2013年9月发布了zmq4。 zmq4最大的新功能即提供了一套安全机制,其中有IP黑白名单,用户名/密码鉴权,ECC(Elliptic Curve Cryptography)证书鉴权,以及通讯的加密(类似TSL)。 本文主要介绍zmq4.0的安全机制。 2. ECC的故事: 这里的ECC不是我厂历史上的电商事业群,而是椭圆曲线加密算法。ECC据说被NSA(美国安全局)操作,在算法中设置了后门。 安全机制 3. https://github.com/zeromq/czmq/issues/1470 b. czmq4实现的reactor模型不支持监控zactor对象. c. czmq4有很多函数的参数个数是不确定的
3.1K30发布于 2018-07-19 - 来自专栏Seebug漏洞平台
原创Paper | Windows 的 PPL 安全机制和绕过
作者:0x7F@知道创宇404实验室 日期:2023年5月5日 0x00 前言 参考资料 Windows 从 vista 版本引入一种进程保护机制(Process Protection),用于更进一步的控制进程的访问级别 本文将介绍 Windows 的 PPL 安全机制,以及在实验环境下如何绕过该机制,从而实现对 PPL 的进程进行动态调试。 本文实验环境: Windows 10 专业版 22H2 Visual Studio 2019 0x01 PPL机制 参考资料 使用 Process Explorer 工具查看进程列表,我们可以看到 Windows 的部分核心进程设置了 PPL 保护: 对于安全研究来说,PPL机制最直观的感受就是即便使用管理员权限也无法 attach 这个进程进行调试: 通过官网文档(https://learn.microsoft.com 0x02 双机调试bypass 参考资料 使用双机内核调试可以无视大多数的安全机制,这里我使用网络双机调试,成功连接被调试主机后,再进入到有 PPL 机制的 smss.exe(412) 的进程空间下,直接就可以正常调试
2.3K30编辑于 2023-08-23 - 来自专栏黑白天安全团队
windows之NTLM认证
网络认证则是基于一种Challenge/Response认证机制的认证模式。 (winlogon.exe即Windows Logon Process,是Windows NT用户登陆程序,用于管理用户登录和退出。LSASS用于微软Windows系统的安全机制。 LSASS用于微软Windows系统的安全机 制。它用于本地安全和登陆策略。 ? windows网络认证 在工作组中,无论是局域网中的一台机器还是很多机器,它们能够通信的话都无法相互建立一个完美的信任机制。 该消息就是挑战/响应认证机制的主要功能体现。 认证:验证主要是在挑战完成后,验证结果,是认证的最后一步。
3.1K20发布于 2020-08-18
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号