【信息安全_domain.trust.pr0mise.pptx】深入解析
1. 域和林的概念:
在微软的活动目录(Active Directory, AD)中,域是网络资源管理的基本单位,它包含用户账户、计算机、打印机等对象。一个域内的所有对象共享相同的DNS区域,并通过域控制器(Domain Controller, DC)进行身份验证和授权。林是多个域的集合,它们共享相同的全局编录(Global Catalog)和架构,允许不同域间的通信。林根域是林中的顶级域,其他域通过树结构与之关联。
2. 信任关系的作用:
信任关系是AD中的关键概念,它允许一个域中的用户或服务访问另一个域的资源。这种关系如同桥梁,使得不同域间的数据和资源得以安全地交互。例如,当A域的用户需要访问B域的共享文件时,就需要存在信任关系来确保权限的正确授予。
3. 信任的种类及特性:
- 父-子信任:在同一个域树中,父域和子域之间自动建立双向信任,允许上层域控制下层域。
- 树信任:林中的所有域都通过林根域自动建立双向信任,允许整个林内的资源访问。
- 快捷方式信任:管理员手动创建的单向信任,用于加速认证,可以向下传递。
- 林信任:在不改变AD结构的情况下,让不同林之间建立相互访问的通道,通常是单向的。
- 外部信任/跨林快捷方式信任:类似内部快捷方式信任,但适用于不同林之间的资源访问,也是单向的。
4. 信任认证流程:
认证流程通常涉及Kerberos协议。当A域用户尝试访问B域资源时,流程如下:
- 用户向其所在域的KDC发送KRB_AS_REQ请求。
- KDC回应KRB_AS_REP,包含TGT(Ticket-Granting Ticket)。
- 用户使用TGT请求服务票证(service ticket)。
- 如果涉及跨域,A域KDC将请求转发到B域KDC,使用互域信任密钥进行加密。
- B域KDC验证请求并返回服务票证,用户凭此访问资源。
5. 利用手法:
在渗透测试和内网安全中,理解域信任至关重要,因为攻击者可能利用这些关系进行横向移动,如:
- Silver Ticket攻击:创建伪造的TGT,绕过正常的Kerberos认证。
- Golden Ticket攻击:创建伪造的krbtgt账户票证,允许不受限制的域访问。
- 短信重定向:利用信任关系,将短信验证码重定向到攻击者控制的设备上,增强身份验证的欺骗。
总结,域和林的信任机制是AD安全性的重要组成部分,理解和掌握这些概念有助于提升网络安全防护能力。同时,了解信任的弱点和潜在的攻击手法,对于防御和响应网络入侵具有至关重要的意义。在进行内网渗透测试时,攻击者常利用信任关系来扩展权限,因此,企业应定期评估和加固这些安全设置,防止未经授权的访问。
