AD Manager ADManager Plus AD域

在本博客中，我們將討論Kerberos預認證如何幫助減少密碼×××。我們也將討論本機工具為何無法成功提供已禁用Kerberos預驗證用戶賬戶列表。以及，如何簡單方便地檢測和啟用這些賬戶的預認證。 在Windows 環境下，Kerberos 認證使用密匙分發中心（KDC）來進行用戶和服務器身份驗證。KDC接收Kerberos用戶，使用其活動目錄 (AD)?服務數據庫檢測，並在成功驗證後分發權證。這聽起來像一個安全識別身份機制，對嗎？好，請稍等。?

Kerberos’ 認證過程仍很容易受到多種×××，包括密匙×××。
啟用Kerberos預認證可以阻止動態密匙×××。KDC在默認情況下對所有用戶帳戶進行預認證，但是管理員經常因為測試、自動化等等，在一些用戶帳戶上禁用Kerberos預認證。

預認證和如何抵禦動態密匙×××
當提交權證申請時，預認證通過密碼散列幫助用戶識別身份。權證申請也包括具體內容，如用戶時間戳、加密IP地址列表和權證有效期。當KDC收到申請，它通過AD密碼散列解密申請。如果解密成功，the KDC 開始分發權證；如果解密失敗，the KDC向用戶反饋錯誤。
啟用Kerberos 預認證時，用戶無法向KDC發送虛假請求，因為每個申請都有時間戳加密。發送申請時，KDC 檢查每一個申請的時間戳，確保不會早於或者同之前的申請相同。另外，KDC 同服務器時間比對每一個申請。如果申請時間戳晚於服務器時間5分鐘，請求就會被拒絕。如果KDC讀取到有效時間，可以確定不是之前的重復申請。
如果禁用預認證，×××者可以脫機，執行暴力×××破解密碼，並在不留下蹤跡的情況下完成身份驗證請求。如果啟用預認證，×××者每一次嘗試新密碼，都必須同KDC連接。盡管×××者可以多次執行，但每次預授權失敗時都會有KDC日誌。

如何識別已禁用的Kerberos預認證帳戶?
本地工具 vs. ADManager Plus
如果您進行域風險評估，會顯示有些用戶賬戶已禁用Kerberos預認證。 但是，無法提供哪些用戶已禁用。要列出禁用Kerberos預認證的用戶帳戶，您需要創建復雜的LDAP過濾器或PowerShell腳本，或者使用另一個工具。
使用ADManager Plus自定義報表功能，這樣，您可以輕松地鼠標一點識別未認證用戶賬戶，並且使用報表自行完成Kerberos預認證。???

該報表將幫助查找具有Kerberos預認證的用戶帳戶，這是在ADManager Plus的自定義報告中沒有Kerberos預驗證用戶帳戶，如圖1所示。

圖1.在ADManager Plus“用戶報表”下，可找到沒有Kerberos預認證的用戶帳戶報表。
從用戶賬戶列表，您可以核實是否Kerberos預認證應該禁用這些用戶。 如果一個賬戶需要預認證，您可以從報表中為這個賬戶Kerberos預認證, 如圖2所示。

圖2: 用戶賬戶修改
在這篇博客中，我們討論了Kerberos預認證及降低主動密碼×××的重要性。我們也看到如何簡單地檢測未進行Kerberos預認證的用戶，並且，僅僅幾個點擊就可以完成這些用戶的Kerberos預認證。怎麽樣，ADManager Plus 自定義報表功能強大吧 ？
閱讀更多關於?ADManager Plus自定義報表.?下載免費指南和視頻，創建您自定義的ADManager Plus 報表。

使用ADManager Plus?自定義報表防止動態密碼×××