研究员Andrea Pierini发现了Windows漏洞CVE-2025-58726,攻击者可通过Kerberos认证反射缺陷,利用低权限账户远程获取SYSTEM级访问权限。该漏洞影响所有Windows版本,微软已发布修复程序。攻击利用Ghost SPN概念,可能影响其他依赖Kerberos的服务。
Kerberos认证机制面临黄金票据、白银票据、钻石票据和蓝宝石票据等攻击,这些攻击利用关键Hash和KDC信任链,允许攻击者伪造身份和权限,威胁Windows域安全。理解Kerberos流程、定期更换凭据和监控异常行为是提升安全性的关键。
Windows SMB 客户端新漏洞(CVE-2025-33073)允许攻击者提升至 SYSTEM 权限,CVSS 评分为 8.8。攻击者可通过诱骗受害者连接恶意 SMB 服务器,利用 Kerberos 认证缺陷伪造特权令牌。系统管理员需高度关注此漏洞。
在现代企业中,数据安全至关重要。传统的 NFS 文件共享协议缺乏加密,容易被窃取。通过加密 NFS,可以保护数据传输和存储的完整性与机密性。搭建加密 NFS 需要安装支持加密的软件,配置 Kerberos 加密选项,并重启服务。客户端需安装 NFS 客户端软件并挂载共享目录,以实现安全访问。
Kerberos是1988年在麻省理工学院开发的安全认证协议,旨在不安全网络中验证用户与服务的身份。其核心是通过相互认证确保信息安全,涉及领域、主体、客户端、服务和密钥分发中心等关键术语。用户通过身份验证服务器获取票证,以访问所需服务,实现安全通信。
在网络攻击日益严重的背景下,用户身份验证是保护敏感数据的首要防线。身份验证包括识别、验证和授权三个步骤,主要分为集中式和分散式。结合多因素认证(如密码和指纹)可以降低风险。选择合适的协议(如Kerberos和RADIUS)有助于防止数据泄露,提升用户体验。身份验证不仅是技术屏障,更是抵御网络威胁的第一道防线。
微软决定在Windows 11 24H2和Windows Server 2025版之后不再支持NTLM身份验证协议,企业和开发者需要迁移到Kerberos或Negotiate协议。微软计划在2023年10月彻底禁用NTLM协议,因为它过于老旧且不安全。
Spring Security Kerberos 2.1.0已发布,修复了一些错误,更新了版本,提高了兼容性。
微软计划在Windows 11中取消NT LAN Manager,加强Kerberos身份验证协议的安全性。NTLM将被作为后备方案使用,以保持现有兼容性。这些更改将默认启用,无需配置。
本文介绍如何在Linux环境下使用Docker快速搭建Kerberos认证,并进行简单测试。提供了添加服务端配置、新增客户端配置、编写Docker启动脚本、配置supervisord文件、创建DockerFile并编译打包Kerberos镜像,最后启动Docker镜像的步骤。同时提供了在镜像外访问Kerberos服务的方法。
最近项目中使用华为大数据平台的Kafka数据源进行数据同步,采用kerberos认证。通过修改pom.xml依赖和配置文件,成功接入数据。配置kerberos认证文件,并在启动脚本中指定环境变量后,运行jar包即可。对接华为大数据平台的Kafka很简单,但网上教程较少。
Kerberos认证在域渗透中起着重要作用,涉及客户端、服务器和域控制器(DC)三个角色。DC包含一个负责用户认证和授权的密钥分发中心(KDC)。KDC由认证服务(AS)和票据授予服务(TGS)两个主要组件组成。认证过程包括客户端向AS请求认证,AS响应并返回登录会话密钥和票据授予票证(TGT),客户端向TGS请求服务票证(ST)。ST由客户端用于与服务器进行安全通信。过程还包括使用哈希和时间戳进行安全验证。PAC用于验证客户端属性。服务器用加密票证响应客户端,客户端可以使用服务会话密钥解密。
本文总结了Kerberos协议的认证流程和可能的攻击方式。Kerberos是一种网络身份验证协议,通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。Kerberos由Key Distribution Center (KDC)、Client和Service三个部分组成。认证流程分为AS_REQ & AS_REP、TGS_REQ & TGS_REP和AP-REQ & AP-REP三个阶段。在AS_REQ阶段,客户端向KDC发送认证请求,包括客户端哈希值、加密的时间戳等信息。在AS_REP阶段,KDC验证客户端身份并返回票据。
微软强制启用SMB签名以增强安全性,但可能增加IT管理员工作量。推荐使用Kerberos而非NTLMv2。强制启用SMB签名不会产生兼容性问题,但某些第三方软件可能不支持。IT管理员需要检查软件、客户端系统和服务器,将SMB签名全部改成启用或强制。需注意微软修复安全启动漏洞导致旧版Windows镜像作废。
Kerberos认证是一种安全的认证协议,金票据是伪造的TGT,可以获取任意Kerberos的访问权限;白银票据是伪造的ST,只能访问指定的服务,由服务账号NTLM Hash加密,可以绕过账号策略。可以通过Mimikatz、Metasploit、CobaltStrike等工具制作及导入票据。
在 Windows 2000 Server 首次发布 Active Directory 时,Microsoft 必须提供一种简单的机制来支持用户通过 Kerberos 向 Web Server 进行身份验证并需要代表该用户更新后端数据库服务器上的记录的方案。这通常称为……
俗话说得好,万事开头难。在软件开发中,环境部署要算是第一门槛了。我最近折腾了一周时间把cdh5.0.2.tar.gz版本在MRv1模式下,成功集成了Kerberos安全认证,并且是在全分布式模式下。经过这次安装过程,对hadoop的了解又深入了一层。现在趁着自己刚搭建完环境,脑子还时不时的闪现遇到的错误,把我的安装过程记录于此,一方面方便自己今后查阅,另一方面希望对今后遇到同样问题人有所启发。
完成下面两步后,将自动完成登录并继续当前操作。
