域渗透 | 白银票据防护

昨天的文章中咱们说了在域渗透中白银票据的利用，可是如何对其进行防护呢，若是没有看过白银票据利用的文章，请移步《域渗透 | 白银票据利用》

目录

0x01 介绍

0x02 防护方法

0x03 防护效果

0x01 介绍

对于白银票据的利用，咱们昨天已经说的很明白了，就是由于server在接收到client发送的ticket时，server仅仅只知道本身的hash，也就是server hash，而对于其余的server session key、end time等等内容都是能够进行伪造的，因此防护的方向就是从两个方面来下手了，一个是保护本身的hash不被获取到，另外一个就是增长验证方式，验证ticket的正确性，对于域认证的流程还不熟悉的能够移步《Windows认证 | 域认证》

0x02 防护方法

介绍中也说的很明白了，因此第一个防护方法就是尽可能保证凭证不被获取到，这个就很少说了，咱们着重说一下第二种方法，增长验证方式。

咱们能够经过开启PAC(Privileged Attribute Certificate)特权属性证书保护功能，开启PAC后，PAC会将client发送的票据ticket发送给KDC，由KDC来进行验证ticket是否有效，就可使所伪造的票据没法进行利用。

开启的方式是更改注册表中的一个值，将

··· HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters ···

中的ValidateKdcPacSignature设为1

可是我发现这个下面并无这个值，通过查询官网，得知须要增长一个dword值

有兴趣的能够去看看微软是怎么解释Windows中的PAC验证的

https://blogs.msdn.microsoft.com/openspecification/2009/04/24/understanding-microsoft-kerberos-pac-validation/

这里手动增长一下，注意是在server端进行添加的

这里须要明确一下，若是开启PAC的话会增长一些网络和性能上的消耗，并且看状况可能还比较严重。

0x03 防护效果

开启PAC后，咱们再验证一下白银票据的利用是否还能够奏效

能够发现所伪造的ticket已经不起做用了

本文由博客一文多发平台 OpenWrite 发布！