MBCDN

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: pgp adcs ticketsystem pyramide lxc scsi targetcli opensearch broadcast dateisystem
kerberos

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung 		Vorhergehende Überarbeitung
kerberos [2025/04/23 12:54]
jango 		kerberos [2025/07/23 16:32] (aktuell)
jango [Angriffsmöglichkeiten]
Zeile 15: Zeile 15:
   * **Sitzungsschlüssel**: Sobald der Benutzer das Service Ticket erhält, kann er den Sitzungsschlüssel extrahieren. Der Sitzungsschlüssel wird für die Verschlüsselung der Kommunikation zwischen dem Benutzer und dem Dienst verwendet.   * **Sitzungsschlüssel**: Sobald der Benutzer das Service Ticket erhält, kann er den Sitzungsschlüssel extrahieren. Der Sitzungsschlüssel wird für die Verschlüsselung der Kommunikation zwischen dem Benutzer und dem Dienst verwendet.
  
 +=====Kerberos Constrained Delegation (KCD)=====
 +
 +Kerberos Constrained Delegation ist eine Erweiterung der Microsoft Windows Server Kerberos-Authentifizierung. Sie bietet einen Mechanismus zur Beschränkung der zusätzlichen Dienste, auf die ein Kerberos-authentifizierter Benutzer oder Dienst Zugriff anfordern kann. In einer nicht eingeschränkten Windows Server Kerberos-Umgebung kann ein ordnungsgemäß authentifizierter Dienst den Zugriff auf jeden anderen Dienst innerhalb derselben Domäne delegieren. Wenn eingeschränkte Delegation verwendet wird, können Administratoren Konten so einschränken, dass sie nur an erlaubte Dienste delegieren. Als Ergebnis können Vertrauensgrenzen konfiguriert werden, um die Weitergabe von Kerberos-authentifizierten Konten einzuschränken, ohne auf die Vorteile der Kerberos-Authentifizierung verzichten zu müssen. KEMP LoadMaster unterstützt KCD über das Edge Security Pack (ESP).
 =====Authentifizierung===== =====Authentifizierung=====
  
Zeile 99: Zeile 102:
 ====Angriffsmöglichkeiten==== ====Angriffsmöglichkeiten====
  
-  * Pass-the-Ticket (PtT): Angreifer stiehlt ein gültiges Ticket Granting Ticket (TGT) oder Service Ticket (TGS) aus dem Speicher. Das Ticket kann auf einem anderen System wiederverwendet werden (z. B. mit Mimikatz oder Rubeus), solange es gültig ist. +  * Pass-the-Ticket (PtT): Angreifer stiehlt ein gültiges Ticket Granting Ticket (TGT) oder Service Ticket (TGS) aus dem Speicher. Das Ticket kann auf einem anderen System wiederverwendet werden (z. B. mit [[Mimikatz]] oder Rubeus), solange es gültig ist. 
-  * Overpass-the-Hash (Pass-the-Key): Angreifer hat NTLM-Hash → erstellt daraus ein Kerberos-TGT (z. B. mit Mimikatz). Funktioniert also auch "rückwärts", wenn man an den Hash kommt.+  * Overpass-the-Hash (Pass-the-Key): Angreifer hat [[NTLM]]-Hash → erstellt daraus ein Kerberos-TGT (z. B. mit Mimikatz). Funktioniert also auch "rückwärts", wenn man an den Hash kommt.
   * Ticket Forging (Golden Ticket / Silver Ticket): Wenn Angreifer den KRBTGT-Key eines DC bekommt, kann er beliebige TGTs (Golden Ticket) oder TGS (Silver Ticket) ausstellen.   * Ticket Forging (Golden Ticket / Silver Ticket): Wenn Angreifer den KRBTGT-Key eines DC bekommt, kann er beliebige TGTs (Golden Ticket) oder TGS (Silver Ticket) ausstellen.
  
kerberos.1745405682.txt.gz · Zuletzt geändert: 2025/04/23 12:54 von jango

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-NoDerivatives 4.0 International
CC Attribution-NoDerivatives 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki