Làm thế nào để bạn tìm ra nếu Active Directory đang sử dụng Kerberos hoặc NTLM?


15

Có một chương trình dòng lệnh bạn có thể sử dụng?


Tôi không có quyền truy cập vào Bộ điều khiển miền, chỉ những khách hàng khác.
LeWoody

Tải xuống ứng dụng thư Thunderbird và nhập thông tin đăng nhập của bạn, Thunderbird sẽ tự động khám phá nếu Active Directory đang sử dụng Kerberos hoặc NTLM.
Eric Leschinski

Câu trả lời:


9

Tôi nghĩ rằng câu hỏi nên được xoắn trên đầu của nó. Active Directory hỗ trợ cả Kerberos và NTLM. Trước tiên, Windows sẽ thử Kerberos và nếu tất cả các yêu cầu không được đáp ứng, nó sẽ chuyển sang NTLM.

Tôi sẽ cho bạn ví dụ, truy cập chia sẻ tệp theo tên như \ server1 \ share sẽ gọi Kerberos và sẽ thành công khi được phép. Nhưng việc truy cập cùng một tệp chia sẻ bằng địa chỉ IP sẽ gọi Kerberos trước và không thành công (vì không có SPN cho Địa chỉ IP) và sau đó không chuyển sang NTLM.

Vì vậy, hãy xác định cách chương trình của bạn đang cố xác thực với AD và sẽ cho bạn biết giao thức nào đang được sử dụng.

Tôi sẽ tò mò muốn biết, điều gì đã nhắc bạn hỏi câu hỏi này.


6

Bạn có thể xem danh sách các vé Kerberos đang hoạt động để xem có vé nào cho dịch vụ quan tâm không, ví dụ: bằng cách chạy klist.exe .

Cũng có một cách để ghi nhật ký các sự kiện Kerberos nếu bạn hack registry .


2

Bạn thực sự nên kiểm tra các sự kiện đăng nhập, cho dù máy tính là máy chủ hay máy trạm. Thật hữu ích khi tìm ra người dùng nào đang truy cập hệ thống của bạn và khắc phục sự cố liên quan đến bảo mật.

Bạn có thể sửa đổi Chính sách kiểm toán của mình bằng Chính sách nhóm: Bắt đầu ... Chạy ... gpedit.msc ... Cấu hình máy tính, Cài đặt Windows, Cài đặt bảo mật, Chính sách cục bộ, Chính sách kiểm toán, "Sự kiện đăng nhập kiểm toán". Chọn hộp kiểm "Thành công" và "Thất bại". Hãy thử đăng xuất và đăng nhập để xem một số sự kiện tiêu biểu trong Nhật ký sự kiện bảo mật Windows của bạn.


0

Netstat hiển thị tất cả các kết nối TCP và UDP nghe. sử dụng tùy chọn -na dành cho tất cả các kết nối và không phân giải tên hoặc cổng. Tùy chọn 'b' là hiển thị chương trình được xác định với nó. Nếu DNS đang chạy, nó có thể hiển thị rất nhiều kết nối khác, do đó bạn có thể muốn chỉ định TCP.

Kerberos chắc chắn đang chạy nếu nó là Bộ điều khiển miền Active Directory triển khai.

netstat -nab


The requested operation requires elevation.
Amit N Nikol

0

Giả sử bạn đang kiểm tra các sự kiện đăng nhập, hãy kiểm tra nhật ký sự kiện bảo mật của bạn và tìm kiếm 540 sự kiện. Họ sẽ cho bạn biết liệu xác thực cụ thể đã được thực hiện với Kerberos hay NTLM.


tôi không có bất kỳ sự kiện nào trong số 540 sự kiện :(
LeWoody

0
 public string FindAllUsers()
        {
            string strReturn="";
            try
            {
                DirectoryEntry directoryEntry = new DirectoryEntry("WinNT://" + Environment.UserDomainName);
                string userNames = "";
                string authenticationType = "";
                foreach (DirectoryEntry child in directoryEntry.Children)
                {
                    if (child.SchemaClassName == "User")
                    {
                        userNames += child.Name + Environment.NewLine; //Iterates and binds all user using a newline
                        authenticationType += child.Username + Environment.NewLine;
                    }
                }

                strReturn = userNames + "\n\n" + authenticationType;
                //Console.WriteLine("************************Users************************");
                //Console.WriteLine(userNames);
                //Console.WriteLine("*****************Authentication Type*****************");
                //Console.WriteLine(authenticationType);
            }
            catch (Exception)
            {
                Console.WriteLine("Network error occured.");
                strReturn = "";
            }
            return strReturn;
        }

4
Điều này cần nhiều lời giải thích để có ích.
Sven

0

Bạn có thể thử công cụ này. http://blog.michelbarneveld.nl/media/p/33.aspx

Đây là một công cụ để kiểm tra Xác thực trên các trang web. Nó sẽ hiển thị loại xác thực được sử dụng: Kerberos, NTLM, cơ bản, không có. Nhưng nó cũng hiển thị các thông tin khác như: SPN được sử dụng, tiêu đề HTTP, tiêu đề ủy quyền NTLM và Kerberos được giải mã. Và nó cũng có thể hiển thị và xóa Vé Kerberos của bạn.


-1

Phụ thuộc vào máy khách / máy chủ có liên quan. Ví dụ: có một trang web (xin lỗi, không có thời gian để tìm kiếm nó ngay bây giờ) bạn có thể đặt một trang web sẽ cho bạn biết nếu kerberos hoặc NTLM đã được sử dụng. Tuy nhiên tôi biết không có cách nào để biết máy chủ SQL đã sử dụng phương thức xác thực nào. Mặc dù như đã được sugegsted trước đó, nhật ký bảo mật có thể cho bạn biết.
Tại sao bạn đang cố gắng tìm hiểu?

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.