目录
Authentication Service Exchange
Ticket-Granting Service(TGS) Exchange
Client/Server Authentication Exchange
NTLM是NT LAN Manager的缩写,NTLM是指telnet的一种验证身份方式,即问询/应答身份验证协议,是windows NT 早期版本的标准安全协议,Windows 2000支持NTLM是为了保持向后兼容。Windows 2000内置三种基本安全协议之一。
①使用用户名和密码登录客户端,进行本地认证
②客户端首先在本地加密当前用户的密码为密码散列,即NTLM Hash
注:通常意义上的NTLM Hash指存储再SAM数据库及NTDS数据库中对密码进行Hash摘要计算后的结果,这类Hash可以直接用户PTH,并且通常存在于LSASS进程中,便于SSP(NTLM安全支持提供程序)使用。
③确认双方协议版本、客户端向服务器明文发送自己的账号
④服务器生成一个16位的随机数字发送给客户端,即challenge
⑤客户端使用NTLM Hash来加密challenge,生成的结果即response
⑥服务器将明文的用户名、challenge、response发给域控制器(DC)
⑦域控制器用这个用户名在SAM密码管理库中找到用户对应的NTLM Hash,并使用这个值来加密challenge,生成的结果即为response2
注:Security Account Manager Database,安全账号管理数据库
⑧域控制器对response和response2进行比较,如果一样则认证成功,反之则失败
Windows不会存储用户的明文密码,而是将明文秘密加密后存储在SAM中。
本地认证的过程中,用户登录时,系统会将用户输入的明文密码加密从NTLM Hash,然后和SAM中的NTLM Hash进行比较从而完成认证
用户进行任何注销操作(注销登录,重启,锁屏)等,winlogon进程会现实密码输入界面,接受用户输入密码后交给lsass进程,这个进程中会保存一份明文密码,然后加密成NTLM Hash
winlogon.exe -> 接收用户输入 -> lsass.exe -> 本地认证
Kerberos是一种由MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端、服务器应用程序提供强身份验证
在Kerberos认证中,最主要的问题是如何证明【你是你】的问题,如当一个Client去访问Server服务器上的某服务器时,Server如何判断Client是否有权限是否有权限来访问自己主机上的服务,同时保证在这个过程中的通讯内容即使被拦截或篡改也不影响通讯的安全性,这正是Kerberos解决的问题。
Kerberos主要是用在域环境下的身份认证协议
Kerberos协议四个角色介绍KDC服务默认会安装在一个域的域控中,KDC服务框架中包含一个krbtgt账户,它是在创建域时系统自动创建的一个账号,是一个无法登陆的账号,在发放票据时会使用到它的密码HASH值
Authentication Service: 认证服务器,一下简称AS,作用就是验证Client端的身份,验证通过会发送一张TGT(Ticket Granting Ticket) 票据给Client
TGT包含:使用KDC中的krbtgt账户的NTLM Hash加密的SessionKey、Client name &realm 以及End time:TGT的到期时间
Ticket Granting Service:票据分发服务器,一下简称TGS,作用是通过AS发送给Client的票据(TGT)换取ST(ServiceTicket) ,也被称为TGS Ticket
ST可以用来访问server端的票据,包含:SessionKey-tgs、Client name &realm 以及End Time:ST的到期时间。
1、KRB_AS_REQ(请求)
Client–》AS:客户端向KDC的AS发送Authenticatior1,内容包含:
2、KRB_AS_REP(响应)
AS–》Client:AS根据用户名在AD中判断是否在白名单中,接着进行验证发送方是否为Client name中声称的用户,也就是需要验证发送方是否知道该用户名的密码,此时只需要从AD中使用相同的NTLM Hash对请求包中的Pre-authentication data进行解密,如果是一个合法的时间戳,则说明提供的密钥无误。
验证成功后提取相应的NTLM Hash,此时会生成一个随机数SessionKey,然后使用提取的NTLM Hash来加密SessionKey,生成SessionKey-as作为AS数据,再返回一个TGT
Client收到KRB_AS_REP,通过自己的NTLM Hash对返回的SessionKey-as进行解密得到SessionKey后,即可携带TGT进入下一个步骤
1、KRB_TGS_REQ(请求)
Client–》TGS:Client向KDC的TGS发送Authenticator2,内容包含:
2、KRB_TGS_REP(响应)
TGS–》Client:TGS首先通过自己的NTLM Hash(krbtgt账户的NTLM Hash)对Client提供的TGT进行解密,即可得到SessionKey,再通过这个SessionKey解密Client提供的Authenticator来进行验证,此时生成一个SessionKey-tgs
验证成功后向对方发送两个数据:
Client收到KRB_TBS_REP,使用SessionKey对返回的SessionKey-tgs-encrypt进行解密得到SessionKey-tgs,有了SessionKey-tgs和ST,Client就可以和Server交互了,至此TGS的任务完成。
1、KRB_AP_REQ(请求)
Client–》Server:Client向Server发送Authenticator3,内容包含:
2、KRB_AP_REP(响应)
Server–》Client:Server首先通过自己的NTLM Hash对收到的ST进行解密,即可得到SessionKey-tgs,再通过这个SessionKey-tgs解密收到的Authenticator即可验证身份,原理同上。
此时连接建立成功
对于需要进行双向验证,Server从Authenticator提取Timestamp,使用SessionKey(Server-Client)进行加密,并将其发送给Client用于Client验证Server的身份。
如有侵权请联系删除
