在日常使用 Windows 計(jì)算機(jī)時(shí)��,我們可能會(huì)遇到不同類型的登錄方式�����,比如 本地登錄(Interactive Logon) 和 網(wǎng)絡(luò)登錄(Network Logon)�����。如果你曾在公司網(wǎng)絡(luò)中訪問(wèn)共享文件夾、遠(yuǎn)程管理服務(wù)器�,或者使用遠(yuǎn)程打印機(jī),你已經(jīng)在無(wú)意間使用了 網(wǎng)絡(luò)登錄�����。
那么���,什么是網(wǎng)絡(luò)登錄��?它是如何工作的��?又該如何保障其安全性��?今天���,我們就來(lái)深入探討 Windows 網(wǎng)絡(luò)登錄的原理���、應(yīng)用場(chǎng)景和安全防護(hù)措施。
?? 什么是 Windows 網(wǎng)絡(luò)登錄����?
網(wǎng)絡(luò)登錄(Network Logon),顧名思義���,就是用戶或計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)另一臺(tái)計(jì)算機(jī)�,而不是在本地鍵盤和屏幕上直接輸入賬號(hào)密碼進(jìn)行登錄(本地登錄)����。
在 Windows 事件日志 中,網(wǎng)絡(luò)登錄的 "Logon Type"(登錄類型)為 3���,并記錄在 事件 ID 4624(成功登錄)或 4625(失敗登錄) 中���。
?? 典型的網(wǎng)絡(luò)登錄場(chǎng)景
? 訪問(wèn)共享文件夾(SMB):
例如,你在公司局域網(wǎng)內(nèi)����,輸入 \\192.168.1.100\shared 訪問(wèn)共享文件夾�����,這就是一個(gè)網(wǎng)絡(luò)登錄���。
? 遠(yuǎn)程管理計(jì)算機(jī)(WinRM):
使用 PowerShell 遠(yuǎn)程執(zhí)行命令,例如:
Enter-PSSession -ComputerName Server01 -Credential DOMAIN\User
? 遠(yuǎn)程打印機(jī):
連接到公司網(wǎng)絡(luò)上的共享打印機(jī)進(jìn)行打印�����。
?? 事件日志中的網(wǎng)絡(luò)登錄
Windows 通過(guò) 安全日志(Security Log) 記錄所有的登錄事件����,包括 交互式登錄(Interactive Logon)和網(wǎng)絡(luò)登錄(Network Logon)���。
?? 事件 ID 4624(成功登錄)
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Event ID: 4624
Task Category: Logon
Level: Information
User: DOMAIN\User
Logon Type: 3 (Network Logon)
?? 事件 ID 4625(失敗登錄)
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Event ID: 4625
Task Category: Logon
Level: Information
User: DOMAIN\User
Logon Type: 3 (Network Logon)
?? Windows 網(wǎng)絡(luò)登錄的身份驗(yàn)證機(jī)制
Windows 支持多種方式進(jìn)行 身份驗(yàn)證(Authentication)�,確保用戶或計(jì)算機(jī)的身份是真實(shí)可信的�����。常見的認(rèn)證機(jī)制包括:
1?? Kerberos 認(rèn)證
- Windows 域環(huán)境的默認(rèn)認(rèn)證協(xié)議���,通常用于企業(yè)內(nèi)部網(wǎng)絡(luò)��。
- 采用 票據(jù)(Ticket)機(jī)制�����,即用戶先獲取一個(gè)票據(jù)授權(quán)票據(jù)(TGT)���,然后再使用它換取特定服務(wù)的訪問(wèn)權(quán)限����。
- 優(yōu)點(diǎn):更安全���,對(duì)密碼的依賴較少�����,支持單點(diǎn)登錄(SSO)����。
2?? NTLM 認(rèn)證(NT LAN Manager)
- 較舊的身份驗(yàn)證協(xié)議�,仍用于 非域環(huán)境 或特定場(chǎng)景。
- 采用 挑戰(zhàn)-響應(yīng)(Challenge-Response) 機(jī)制�,即服務(wù)器向客戶端發(fā)起挑戰(zhàn)�����,客戶端用密碼加密后返回�����,服務(wù)器進(jìn)行匹配驗(yàn)證�。
- 缺點(diǎn):容易被“Pass-the-Hash(PTH)攻擊”利用���,攻擊者可以用竊取的哈希值冒充用戶登錄����。
3?? TLS/SSL 認(rèn)證
- 主要用于 HTTPS 訪問(wèn) 和 VPN 連接�,確保數(shù)據(jù)傳輸加密。
- 依賴 公鑰基礎(chǔ)設(shè)施(PKI) 進(jìn)行身份驗(yàn)證���。
4?? Digest 認(rèn)證
- 主要用于 Web 服務(wù)器或 LDAP 認(rèn)證,比 NTLM 更安全�����。
?? 參考:Windows 認(rèn)證機(jī)制概覽
?? 網(wǎng)絡(luò)登錄與 LSASS 進(jìn)程的安全性
Windows 中的 LSASS(Local Security Authority Subsystem Service) 進(jìn)程是安全認(rèn)證的核心��,負(fù)責(zé) 存儲(chǔ)和管理用戶憑據(jù)。
?? 關(guān)于 LSASS 進(jìn)程的安全特性
- 通常��,網(wǎng)絡(luò)登錄的憑據(jù)不會(huì)緩存在
lsass.exe 進(jìn)程的內(nèi)存空間中�。 - 交互式登錄(Logon Type 2)和遠(yuǎn)程交互式登錄(Logon Type 10) 的憑據(jù)更容易被緩存,因此更容易受到 Mimikatz 等工具的攻擊��。
?? 特殊情況:使用 PsExec 遠(yuǎn)程執(zhí)行命令
PsExec.exe \\RemoteServer -u DOMAIN\User -p Password cmd.exe
- 默認(rèn)情況下�����,網(wǎng)絡(luò)登錄的憑據(jù)不會(huì)緩存在
lsass.exe 中����。 - 如果使用
-u 選項(xiàng)提供備用憑據(jù),則 可能導(dǎo)致憑據(jù)被緩存�,增加攻擊風(fēng)險(xiǎn)。
?? 如何提升 Windows 網(wǎng)絡(luò)登錄的安全性���?
針對(duì) 網(wǎng)絡(luò)登錄 的安全防護(hù)��,我們可以采取以下措施:
? 1. 禁用 NTLM 認(rèn)證���,強(qiáng)制使用 Kerberos
NTLM 認(rèn)證容易受到 Pass-the-Hash(PTH)攻擊,建議在域環(huán)境中 僅啟用 Kerberos。
?? 配置 GPO 限制 NTLM
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Network Security: LAN Manager authentication level > "Send NTLMv2 response only. Refuse LM & NTLM"
? 2. 啟用 Windows Defender Credential Guard
- 保護(hù) LSASS 進(jìn)程��,防止憑據(jù)被提取��。
- 隔離 NTLM���、Kerberos�、Digest 認(rèn)證憑據(jù)�,防止惡意軟件訪問(wèn)。
?? 啟用 Credential Guard
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-Credential-Guard
? 3. 配置遠(yuǎn)程管理工具���,避免憑據(jù)緩存
- 使用
RunAs /netonly 方式運(yùn)行遠(yuǎn)程命令����,避免憑據(jù)緩存�����。 - 限制 PsExec����、WinRM 等工具的使用權(quán)限,防止濫用����。
?? 結(jié)語(yǔ)
Windows 網(wǎng)絡(luò)登錄(Network Logon) 是遠(yuǎn)程訪問(wèn)計(jì)算機(jī)和資源的主要方式,廣泛應(yīng)用于 文件共享�����、遠(yuǎn)程管理���、身份驗(yàn)證 等場(chǎng)景���。
本篇文章介紹了:
? 網(wǎng)絡(luò)登錄的概念與 Windows 事件日志標(biāo)識(shí)
? 網(wǎng)絡(luò)登錄的主要認(rèn)證機(jī)制(Kerberos、NTLM����、TLS、Digest)
? LSASS 進(jìn)程與憑據(jù)存儲(chǔ)的安全性
? 如何加強(qiáng) Windows 網(wǎng)絡(luò)登錄的安全防護(hù)
希望本篇文章能幫助你更深入理解 Windows 網(wǎng)絡(luò)登錄的工作原理���,并提升相關(guān)安全防護(hù)能力��! ????
閱讀原文:原文鏈接
該文章在 2025/3/18 12:37:03 編輯過(guò)
400 186 1886
