首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

如何将活动日志中的对象ID与用户、SPN声明或UPN声明相关联

将活动日志中的对象ID与用户、SPN声明或UPN声明相关联的方法是通过使用Azure Active Directory (Azure AD) 的身份验证和授权功能。

Azure AD 是一种云身份和访问管理服务,可帮助组织管理用户身份和访问权限。它提供了一种集中式的身份验证和授权机制,可以与各种应用程序和服务集成。

要将活动日志中的对象ID与用户、SPN声明或UPN声明相关联,可以按照以下步骤进行操作:

  1. 创建 Azure AD 应用程序:在 Azure 门户中,创建一个 Azure AD 应用程序。应用程序代表你的应用程序或服务,用于与 Azure AD 进行身份验证和授权交互。在创建应用程序时,你将获得一个应用程序 ID,这是一个唯一标识符,用于标识你的应用程序。
  2. 配置应用程序权限:在 Azure AD 应用程序的设置中,配置应用程序需要的权限。这些权限决定了你的应用程序可以访问的资源和操作。例如,你可以配置应用程序具有读取用户信息的权限。
  3. 获取访问令牌:当用户使用你的应用程序进行身份验证时,你的应用程序需要获取一个访问令牌,以便代表用户进行后续的操作。你可以使用 Azure AD 的身份验证终结点来获取访问令牌。在获取访问令牌时,你需要提供应用程序的身份验证凭据(应用程序 ID 和机密)。
  4. 解析访问令牌:获取访问令牌后,你的应用程序可以解析令牌以获取有关用户的信息,包括对象ID、用户ID、SPN声明或UPN声明等。这些信息可以帮助你将活动日志中的对象ID与用户、SPN声明或UPN声明相关联。

需要注意的是,具体的实现细节和代码会根据你使用的编程语言和开发框架而有所不同。你可以参考 Azure AD 的文档和示例代码来了解如何在你的应用程序中实现这些步骤。

推荐的腾讯云相关产品:腾讯云身份认证服务(Cloud Authentication Service,CAS),它是腾讯云提供的一种身份认证服务,可帮助组织实现用户身份验证和访问控制。CAS 提供了多种身份验证方式,包括用户名密码、短信验证码、微信扫码等。你可以使用 CAS 来实现用户身份验证,并将活动日志中的对象ID与用户相关联。

更多关于腾讯云身份认证服务的信息和产品介绍,可以访问以下链接: https://cloud.tencent.com/product/cas

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

本地帐户和活动目录帐户

活动目录帐户Active Directory Accounts 活动目录帐户是活动目录帐户,活动目录帐户可分为用户帐户、服务帐户和机器帐户。活动目录帐户存储在活动目录数据库。...01 用户帐户User Accounts 活动目录用户帐户可以代表一个物理实体,如个人。用户帐户就是在域内用户帐户,本地用户帐户存储在本地机器不同是,域用户帐户存储在活动目录数据库。...此后,这些帐户具有域范围访问权限,访问时加上域前缀即可,并且域内机器独立服务器默认本地用户帐户完全独立。...有两种: UPN(User Principal Name):如 zhangsan@xie.com 。UPN格式电子邮件账号相同,在整个林内,这个名称必须是唯一。...在2.8章SPN服务主体名称我们讲了Kerberos身份验证使用SPN来将服务实例和服务登录帐户相关联。因此,在域中所有的服务都有SPN,并且所有的服务都有服务帐户。

1.5K30

服务凭证(Service Credential)服务身份(Service Identity)

前者被称为服务主体名(SPN:Service Principal Name,以下简称SPN),另一种被称为用户主体名(UPN:User Principal Name,以下简称UPN)。...WCFSPNUPN格式如下。...如果客户端预先指定SPN/UPN表示服务身份,它通过执行服务寄宿进程帐号对应Windows凭证和SPN/UPN进行比较,从未确定服务运行在预先设定机器或者某个域用户帐号下。...由于IIS(IIS 6之后版本)在Network Servier帐号下执行,所以默认会使用SPN作为服务身份标识(SPNJinnan-Win7-X64为机器名称)。...如果服务凭证客户端持有的服务身份相一致,则认证成功,并开始后续消息交换,否则双方之间交互到此为止。 在默认情况下,正进行服务认证客户端和服务端有一个“协商(Negotiation)”过程。

1.2K80
  • 内网渗透 | SPN Kerberoast 攻击讲解

    Kerberos 认证过程使用 SPN 将服务实例服务登录账户相关联,如果想使用 Kerberos 协议来认证服务,那么必须正确配置SPN。...在使用 Kerberos 身份验证网络,必须在内置计算机帐户用户帐户下为服务器注册 SPN。对于内置机器帐户,SPN 将自动进行注册。...•另一种是注册在活动目录用户帐户(Users)下,当一个服务权限为一个域用户时,则 SPN 注册在域用户帐户(Users)下。...这将允许在服务被访问时模拟任何域用户伪造账户。此外,提权也是可能,因为用户可以被添加到诸如域管理员高权限组。...•在进行日志审计时,可以重点关注ID为4679(请求Kerberos服务票据)时间。如果有过多 4769 日志,应进一步检查系统是否存在恶意行为。 Ending......

    3.7K30

    Cloudera安全认证概述

    简要地说,TGS向请求用户服务发行票证,然后将票证提供给请求服务,以证明用户服务)在票证有效期内身份(默认为10小时)。...优点 缺点 本地MIT KDC充当中央Active Directory防护对象,以防止CDH集群许多主机和服务。在大型集群重新启动服务会创建许多同时进行身份验证请求。...集群节点越多,提供服务越多,这些服务集群上运行服务之间流量就越大。...当计算机加入AD域时,应注意确保身份管理产品不将服务主体名称(SPN主机主体相关联。例如,默认情况下,“集中化”将HTTP SPN主机主体相关联。...这些帐户应将AD用户主体名称(UPN)设置为 service/fqdn@REALM,并将服务主体名称(SPN)设置为service/fqdn。keytab文件主体名称应为帐户UPN

    2.9K10

    域权限维持之DCShadow

    两种连接类型,如图所示: 默认情况下,KCC组件每隔15min进行了一次域控间数据同步。使用每个活动目录对象相关联USN,KCC可以识别环境中发生变化,并确保域控在复制扑拓不会被孤立。...1、在活动目录中新增域控 如何在域内注册一个恶意域控呢?MS-ADTS中指出,在活动目录数据库通过一些特殊对象和一定数据对象层级来标识哪台机器是域控。...其中,最关键便是nTDSDSA对象,该对象用于标识一台主机,是域控特殊对象,如图所示,是微软官方对于nTDSDSA对象描述 那么,只要在活动目录添加一个具有nTDSDSA对象服务器就好了。...拥有什么权限才可以往活动目录添加nTDSDSA对象呢?通过查看nTDSDSA对象ACL,可以看到只有域管理员和企业管理员才有权限修改此属性。...nTDSDSA对象无法通过LDAP进行添加,比如mimikatzDCShadow功能模块是通过PRC协议在活动目录增加nTDSDSA对象

    26530

    域权限维持之DCShadow

    两种连接类型,如图所示: 默认情况下,KCC组件每隔15min进行了一次域控间数据同步。使用每个活动目录对象相关联USN,KCC可以识别环境中发生变化,并确保域控在复制扑拓不会被孤立。...1、在活动目录中新增域控 如何在域内注册一个恶意域控呢?MS-ADTS中指出,在活动目录数据库通过一些特殊对象和一定数据对象层级来标识哪台机器是域控。...那么,只要在活动目录添加一个具有nTDSDSA对象服务器就好了。拥有什么权限才可以往活动目录添加nTDSDSA对象呢?...nTDSDSA对象无法通过LDAP进行添加,比如mimikatzDCShadow功能模块是通过PRC协议在活动目录增加nTDSDSA对象。...nTDSDSA对象,确保两者相配 实时监控域中提供了以GC字符串开头SPN 实时监控域中提供了目录复制服务但是又不在正常域控主机

    23310

    CDP私有云基础版用户身份认证概述

    简要地说,TGS向请求用户服务发行票证,然后将票证提供给请求服务,以证明用户服务)在票证有效期内身份(默认为10小时)。...优点 缺点 本地MIT KDC充当中央Active Directory防护对象,以防止CDH集群许多主机和服务。在大型集群重新启动服务会创建许多同时进行身份验证请求。...当计算机加入AD域时,应注意确保身份管理产品不将服务主体名称(SPN主机主体相关联。例如,默认情况下,Centrify将HTTP SPN主机主体相关联。...这些帐户应将AD用户主体名称(UPN)设置为service/fqdn@REALM,并将服务主体名称(SPN)设置为service/fqdn。keytab文件主体名称应为帐户UPN。...当准备好将集群组织MIT KDCActive Directory KDC集成时,可以使用Cloudera Manager Server中提供向导遵循以下手动过程来实现。

    2.4K20

    SPN服务主体名称发现详解

    在内部网络SPN扫描通过 查询向域控制器执行服务发现。这对于红队而言,可以帮助他们识别正在运行重要服务主机,如终端、交换机、微软SQL等,并隐藏他们。...此外,SPN识别也是kerberoasting攻击第一步。 Tim Medin在他Kerberos攻击演讲很好地解释了SPN。...SetSPN SetSPN是一个本地windows二进制文件,可用于检索用户帐户和服务之间映射。该实用程序可以添加,删除查看SPN注册。...以下SPN列表, PENTESTLAB_001服务用户帐户相关联。 ?...GetUserSPNs Tim Medin开发了一个PowerShell脚本,它是kerberoast工具包一部分,可以帮助我们查询活动目录,以发现仅用户帐户相关联服务。

    2.8K00

    没有 SPN Kerberoasting

    服务主体名称 (SPN) 是 Active Directory (AD) 数据库记录,显示哪些服务注册到哪些帐户: 具有 SPN 帐户示例 如果一个帐户有一个 SPN 多个 SPN,您可以通过...,并查找具有 SPN 且不是计算机帐户用户。...(总是 Pass-The-Hash 攻击一起使用) DES:密钥直接从密码中计算出来 在请求中使用客户端主体名称,KDC 尝试在 AD 数据库查找客户端帐户,提取其预先计算 Kerberos 密钥...奖励:重温 S4U 和 AnySPN 攻击 我检查了 Impacket 源代码,我发现了两个有趣地方,它们所发现技术密切相关,但 Kerberoasting 无关。...由于您不再需要 SPN,您可以使用新-userfile选项仅通过用户列表请求服务票证: 使用新 GetUserSPNs.py 按用户列表执行 Kerberoasting 该-userfile选项利用

    1.3K40

    蜜罐账户艺术:让不寻常看起来正常

    所有这些都只有用户权限和企业网络上最少活动。 image.png 4....如果不是,这可能是可疑一个非常旧帐户)。 攻击者尝试发现蜜罐帐户一些简单方法是检查帐户创建时间,并将该日期上次密码更改和上次登录日期进行比较。...建立我们蜜罐帐户 我们想要一个攻击者想要目标(又名“诱饵”),并为防御者提供一种新检测方法,攻击者目标的交互可以识别正在发生恶意活动。...这意味着,如果没有 LogonWorkstations 所有值相关联计算机帐户,攻击者可能会使用受感染用户帐户创建新计算机帐户,并最终将其未加入计算机相关联,最终使用这台新加入域计算机帐户以蜜罐帐户交互登录...如果有人试图阅读它,那可能是恶意,因为它没有真正组策略对象相关联

    1.7K10

    SPN服务主体名称

    Kerberos身份验证使用SPN将服务实例服务登录帐户相关联。如果在整个林域中计算机上安装多个服务实例,则每个实例都必须具有自己 SPN。...然后,安装程序将编写 SPN,并作为帐户对象属性写入 Active Directory 数据库。 如果服务实例登录帐户发生更改,则必须在新帐户下重新注册 SPN。...下面通过一个例子来说明SPN作用: Exchange邮箱服务在安装过程,就会在活动目录中注册一个ExchangeSPN。...当找到该SPN记录后,用户会再次KDC通信,将KDC发放TGT作为身份凭据发送给KDC,并将需要访问SPN发送给KDC。KDCTGS服务对TGT进行解密。...此组件可以具有以下格式之一: 服务对象可分辨名称 objectGUID Active Directory 域,例如 SCP (连接) 。 为整个域提供指定服务服务 DNS 名称。

    53320

    SPN信息扫描

    Windows域环境是基于微软活动目录服务(Microsoft Active Directory),它将物理位置分散,所属部门不同用户在网络系统环境中进行分组,集中统一资源,有效对资源访问控制权限细粒化分配...域环境运行着大量应用包含多种资源,为了方便对资源合理分组分类再分配给用户使用,微软对域内每种资源分配了不同服务主体名称(Service Principal Name)简称SPN。...1.概念介绍 在使用Kerberos身份验证网络,必须在内置计算机帐户(如NetworkServiceLocalSystem)或用户帐户下为服务器注册SPN。...Kerberos身份验证使用SPN将服务实例服务登录帐户相关联。如果在整个域中计算机上安装多个服务实例,则每个实例都必须具有自己SPN。...在Kerberos协议,当用户输入自己账号密码登录Active Directory时,域控制器会对账号密码进行身份验证,当身份验证通过后KDC会将服务授权票据(TGT)颁发给用户作为用户访问资源时验证身份凭证

    20510

    内网渗透 | 域渗透之SPN服务主体名称

    Kerberos认证过程使用SPN将服务实例服务登录账户相关联,如果想使用 Kerberos 协议来认证服务,那么必须正确配置SPN。...SPN 始终包含运行服务实例主机名称,因此服务实例可以为其主机每个名称别名注册SPN。一个用户账户下可以有多个SPN,但一个SPN只能注册到一个账户。...当找到该SPN记录后,用户会再次KDC通信,将KDC发放TGT作为身份凭据发送给KDC,并将需要访问SPN发送给KDC。KDCTGS服务对TGT进行解密。...SPN分为两种类型: 1.一种是注册在活动目录机器帐户(Computers)下,当一个服务权限为 Local System Network Service,则SPN注册在机器帐户(Computers...域中每个机器都会有注册两个2.SPN:HOST/主机名 和 HOST/主机名.xie.com 另一种是注册在活动目录用户帐户(Users)下,当一个服务权限为一个域用户,则SPN注册在域用户帐户

    1.9K10

    SPN 劫持:WriteSPN 滥用边缘案例

    如果 RBCD 影子凭证不可行,SPN 劫持也可以作为替代接管技术。 Kerberos 委托入门 Kerberos 委托是一种允许服务模拟用户到其他服务机制。...攻击者目标是攻破 ServerC。 Ghost SPN 顶升 第一种情况是最简单。ServerA 配置为对先前不再存在计算机服务帐户关联 SPN 进行约束委派。...它可以是标准 SPN,例如 cifs/主机名,已删除计算机/服务帐户重命名计算帐户相关联(如果 SPN 已相应更新)。...在完全修补环境,仅允许域管理员配置冲突 SPN,这意味着 SPN 两个多个不同帐户相关联。...防御者可以检测到主机名计算机 DNS 名称不同 SPN,如下面的屏幕截图所示: 从计算机帐户删除 HOST 服务类也可能是可疑

    1.2K50

    Active Directory 域服务特权提升漏洞 CVE-2022–26923

    Certificate_Template_Data 列证书模板对象 cn属性值 OID 标识符映射到存储在 Certificate_Template_Data 列证书模板对象 msPKI-Cert-Template-OID...4.KDC 必须在NTLM_SUPPLEMENTAL_CREDENTIAL 缓冲区返回用户unicodePwd 属性 Active Directory 将密码存储 在unicodePwd属性用户对象...DNSName字段 DNS 域名领域 DNS 域名匹配。...7.如果使用是3.1.5.2.1.2 SAN UPN 字段来进行证书映射的话,KDC会: KDC确认找到帐户在证书UPN字段中使用 UPN 时找到帐户匹配 。... CT_FLAG_SUBJECT_ALT_REQUIRE_SPN 标志, CA 必须将来自工作目录请求者用户对象userPrincipalName属性值添加到已颁发证书主题替代名称扩展

    2.1K40

    Windows Server 2008 用户管理

    一、用户账户概述: ”用户”是计算机使用者在计算机系统身份映射,不同用户身份拥有不同权限,每个用户包含一个名称和一个密码; 在Windows,每个用户帐户有一个唯一安全标识符(Security...1.png 1、用户管理: 当一台计算机需要提供给多人使用,允许其他人通过网络访问这台计算机,并且需要为不同使用者分配不同权限,如关闭系统权限,修改系统时间权限,访问文件权限(只读或是可修改...例如,谁是当前已登录用户用户名。 参数列表: /UPN :用用户主体 (User Principal) 格式显示用户名名称 (UPN)格式。.../GROUPS:显示当前用户组成员信息、帐户类型和安全、标识符 (SID) 和属性。 /CLAIMS:显示当前用户声明,包括声明名称、标志、类型和值。.../PRIV:显示当前用户安全特权 /LOGONID:显示当前用户登录 ID。 /ALL :显示当前用户名、所属组以及安全等级当前用户访问令牌标识符(SID)、声明和权限。

    3.6K120

    横向移动域控权限维持方法总汇

    这里简要说一下几个有关COM概念 CLSID:又叫CLASSID 一个COM类唯一标识符,每一个Windows注册类一个CLSID相关联。...ProgID不能保证是唯一,并非每个类都与ProgID相关联 Appid: 为了保证COM对象能被顺利远程调用(即为了使DCOM可访问COM对象),需要把APPID该类CLSID相关联,且AppID...AD定期把 AdminSDHolder对象ACL 应用到所有受保护用户组上,防止其被有意故意修改。...如何寻找受保护用户组: 受保护用户 AdminCount属性为1 。 但是,如果对象已移出受保护组,其AdminCount属性仍为1,也就是说,有可能获得曾经是受保护组帐户和组 。...然后默认等60分钟,待ADMINSDHOLDER生效后,xx就获得所有受保护对象完全控制权了 Ntds.dit “Ntds.dit文件是域环境域控上会有的一个二进制文件,是主要活动目录数据库

    1.6K20

    域内横向移动分析及防御

    修改注册表,使其不再这样做 根据Debug权限确定哪些用户可以将调试器附加到任何进程内核,默认情况下只有Administrator。...(Win95及之后) 客户端程序对象能够对网络另一台计算机上服务器程序对象发送请求 执行流程同样: 通过ipc$连接远程计算机 执行命令 1、通过本地DCOM执行命令 获取DCOM程序列表: //...SPN扫描也称作“扫描Kerberos服务实例名称”,在活动目录中发现服务最佳方法就是SPN扫描。...网络端口扫描相比,SPN扫描主要特点是不需要通过连接网络每个IP地址来检查服务端口(不会因触发内网IPS、IDS等设备规则而产生大量警告日志)。...详细可参考:内网渗透 | SPN Kerberoast 攻击讲解 之相关还有一文了解黄金票据和白银票据 防御: 确保服务账号密码长度超过25位 确保密码随机性(避免相同) 定期修改密码 十

    1.6K11

    如何使用ADSI接口和反射型DLL枚举活动目录

    写在前面的话 在这篇文章,我们将告诉大家如何使用活动目录服务接口(ADSI)并结合C/C++来实现Cobalt Strike活动目录枚举。...我们希望在枚举AD信息时候不会触发AMSI或者是不留下明显事件日志(可以通过伪造事件日志内容来实现),要与活动目录进行对接并枚举其对象属性,我们需要使用到活动目录服务接口(ADSI)。...在QueryUsers帮助下,我们可以搜索特定用户所有用户,并返回所有标识用户所有属性。...: 查询组对象和相应属性; 4、Recon-AD-Computers: 查询计算机对象和相应属性; 5、Recon-AD-SPNs: 查询配置了服务主体名称(SPN用户对象并显示有用属性; 6...命令输出指定用户属性信息: 总结 在这篇文章,我们较少了关于活动目录服务接口(ADSI)相关内容,并描述了如何将C/C++以及Cobalt Strike结合来实现活动目录枚举。

    1.5K20
    领券