开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

通过IP访问远程计算机上的资源失败，并显示Kerberos (NTLM被阻止)

通过IP访问远程计算机上的资源失败，并显示Kerberos (NTLM被阻止)。这个问题通常是由于网络配置或安全策略引起的。Kerberos和NTLM都是Windows操作系统中用于身份验证的协议。

Kerberos是一种网络身份验证协议，它使用票据来验证用户的身份。它提供了更安全的身份验证机制，并且在跨网络访问时更加可靠。Kerberos需要域控制器来颁发票据，并且要求客户端和服务器之间的时间同步。

NTLM（NT LAN Manager）是一种旧的Windows身份验证协议，它使用挑战-响应机制进行身份验证。NTLM在较旧的Windows系统中仍然被支持，但相对于Kerberos来说，它的安全性较低。

当通过IP访问远程计算机上的资源失败，并显示Kerberos (NTLM被阻止)时，可能有以下原因和解决方法：

网络配置问题：确保远程计算机和本地计算机之间的网络连接正常，包括网络连通性、防火墙设置等。检查网络配置是否正确，并确保没有任何阻止或限制访问的规则。
Kerberos身份验证失败：如果Kerberos身份验证失败，可能是由于时间不同步、域控制器不可用或票据过期等原因。确保客户端和服务器之间的时间同步，并检查域控制器是否正常运行。
安全策略限制：某些安全策略可能会限制使用NTLM进行身份验证。这可能是出于安全考虑，因为NTLM的安全性较低。在这种情况下，可以尝试启用Kerberos身份验证或与系统管理员联系以了解更多信息。

总结起来，通过IP访问远程计算机上的资源失败，并显示Kerberos (NTLM被阻止)可能是由于网络配置问题、Kerberos身份验证失败或安全策略限制引起的。解决方法包括检查网络配置、确保时间同步、检查域控制器状态以及了解安全策略限制。请注意，以上解决方法是一般性建议，具体情况可能因环境和配置而异。

腾讯云相关产品和产品介绍链接地址：

腾讯云网络产品：https://cloud.tencent.com/product/vpc
腾讯云安全产品：https://cloud.tencent.com/product/safe
腾讯云身份认证产品：https://cloud.tencent.com/product/cam

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

利用资源约束委派进行的提权攻击分析

通过设置约束委派，可以让A模拟用户，验证并访问B以获取相应的资源。 ? 用户通过域控制器请求访问服务A，域控验证并返回A的TGS服务票据，用户发送此TGS给A与A认证并建立连接。...Web客户端默认只会在内网中与主机进行自动认证，这就意味者我们的中继服务器需要有DNS记录，因为以”点”分的IP地址会阻止计算机域名被成功识别，而Windows默认所有经过身份验证的用户都可以在活动目录集成...此外，经过实验，以上攻击操作也可以通过在一台计算机上配置自建服务（计算机账户）对服务自身的基于资源的约束委派完成本地提权操作。...为了弄清楚连接后拒绝访问的原因，我们必须先明白Powershell是在会话中是如何工作的。在PSSession中，Powershell是通过委派用户凭证的方式让用户在远程计算机上执行任务的。...Powershell Remoting通过委派用户凭证的方式使用户在远程计算机上执行任务，本质上却是远程计算机模拟用户进行操作，如果该计算机并没有被配置委派，登录到Powershell会话中的用户无则法再次使用自己凭证请求访问其他远程计算机

2.9K2 0

域渗透基础（一）

登陆到域中的时候，身份验证是采用Kerberos协议在域控制器上进行的，登陆到此计算机则是通过SAM来进行NTLM验证的。...某个用户采用某个域帐号登录到某台主机，并远程访问处于相同域中另一台主机时，如何对访问者和被访问者进行身份验证（这是一种双向的验证）？ Kerberos实际上是一种基于票据（Ticket）的认证方式。...IPC$(Internet Process Connection)可以被理解为一种“专用管道”，可以在连接双方建立一条安全的通道，实现对远程计算机的访问。...微软的初衷是便于网管进行远程管理。试想一下。在一个大型网络里管理员有必要亲自跑到某台机上去看一些东西或是删除一些东西吗?这些管理员坐在主机前通过默认共享可以很轻松地办到。...C:\WINNT\system32>ntlm 输入ntlm启动（这里的C:\WINNT\system32>指的是对方计算机，运行ntlm其实是让这个程序在对方计算机上运行）。

2.1K1 0

内网环境下的横向移动总结

Psexec被众多安全厂商加入查杀黑名单后，近几年，通过调用WMI来进行远程操作的工具也屡见不鲜。（WMI是一项Windows管理技术，通过它可以访问、配置、管理几乎所有计算机资源。）...其中WMIEXEC.vbs脚本可以获取远程主机的半交互式Shell，执行单条命令并返回显示结果。...利用这个接口，客户端程序对象能够向网络中另一台计算机上的服务器程序对象发送请求。DCOM是COM（组件对象模型）的扩展，它允许应用程序实例化和访问远程计算机上COM对象的属性和方法。...，原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务，而不用提供明文密码。...当系统遭受NTLM中继攻击时，我们可以禁用NTLM并切换成Kerberos验证，或启用SMB签名和LDAP签名等。

3.6K2 0

WinRM的横向移动详解

为了证明用户身份，NTLM协议要求客户端和服务器均从用户密码计算会话密钥，而无需交换密码本身。服务器通常不知道用户的密码，因此它与域控制器通信，后者确实知道用户的密码并计算服务器的会话密钥。...与使用NTLM进行身份验证的所有协议一样，有权访问加入域的计算机的计算机帐户的攻击者可以调用域控制器来计算NTLM会话密钥，从而模拟服务器。...即使WinRM服务正在运行，也无法接收或发送请求数据的WS-Management协议消息。 Internet连接防火墙（ICF）阻止访问端口。...-a[llow]d[elegate] - 指定可以将用户凭据用于访问远程共享，例如，不是目标终结点所在的计算机上创建的远程共享。...是一个Visual Basic脚本，允许管理员“配置WinRM并获取数据或管理资源” 是基于WinRM脚本API，而这个api使我们使能够从远程计算机执行WS-Management协议操作和获得数据。

2.7K1 0

Windows日志取证

4666 应用程序尝试了一个操作 4667 应用程序客户端上下文已删除 4668 应用程序已初始化 4670 对象的权限已更改 4671 应用程序试图通过TBS访问被阻止的序号 4672 分配给新登录的特权...4818 建议的中央访问策略不授予与当前中央访问策略相同的访问权限 4819 计算机上的中央访问策略已更改 4820 Kerberos票证授予票证（TGT）被拒绝，因为该设备不符合访问控制限制 4821...Kerberos服务票证被拒绝，因为用户，设备或两者都不符合访问控制限制 4822 NTLM身份验证失败，因为该帐户是受保护用户组的成员 4823 NTLM身份验证失败，因为需要访问控制限制 4824...使用DES或RC4进行Kerberos预身份验证失败，因为该帐户是受保护用户组的成员 4825 用户被拒绝访问远程桌面。...Directory，找到策略更改并应用这些更改 5471 PAStore引擎在计算机上加载了本地存储IPsec策略 5472 PAStore引擎无法在计算机上加载本地存储IPsec策略 5473

2.7K1 1

Windows日志取证

4666 应用程序尝试了一个操作 4667 应用程序客户端上下文已删除 4668 应用程序已初始化 4670 对象的权限已更改 4671 应用程序试图通过TBS访问被阻止的序号 4672 分配给新登录的特权...4818 建议的中央访问策略不授予与当前中央访问策略相同的访问权限 4819 计算机上的中央访问策略已更改 4820 Kerberos票证授予票证（TGT）被拒绝，因为该设备不符合访问控制限制 4821...Kerberos服务票证被拒绝，因为用户，设备或两者都不符合访问控制限制 4822 NTLM身份验证失败，因为该帐户是受保护用户组的成员 4823 NTLM身份验证失败，因为需要访问控制限制 4824...使用DES或RC4进行Kerberos预身份验证失败，因为该帐户是受保护用户组的成员 4825 用户被拒绝访问远程桌面。...Directory，找到策略更改并应用这些更改 5471 PAStore引擎在计算机上加载了本地存储IPsec策略 5472 PAStore引擎无法在计算机上加载本地存储IPsec策略 5473

3.6K4 0

Active Directory中获取域管理员权限的攻击方法

域控制器不会跟踪用户是否真正连接到这些资源（或者即使用户有权访问）。域控制器在 Active Directory 中查找 SPN 并使用与 SPN 关联的服务帐户加密票证，以便服务验证用户访问权限。...使用被盗的域管理员凭据，没有什么可以阻止攻击者转储所有域凭据并保留. 笔记：使用域管理员帐户登录计算机会将凭据放置在 LSASS（受保护的内存空间）中。...原因是，默认情况下，PowerShell 远程处理使用“网络登录”进行身份验证。网络登录通过向远程服务器证明您拥有用户凭证而不将凭证发送到该服务器来工作（请参阅Kerberos和NTLM身份验证）。...下次资源访问需要 Kerberos 票证时，注入的哈希（现在是内存中的 Kerberos 密钥）用于请求 Kerberos 票证。...通过对虚拟化主机的管理员权限，可以克隆虚拟 DC 并离线复制相关数据。获取对虚拟 DC 存储数据的访问权限，并有权访问域凭据。你运行 VMWare 吗？

5.2K1 0

内网渗透测试：内网横向移动基础总结

横向移动在内网渗透中，当攻击者获取到内网某台机器的控制权后，会以被攻陷的主机为跳板，通过收集域内凭证等各种方法，访问域内其他机器，进一步扩大资产范围。...IPC 可以通过验证用户名和密码获得相应的权限，通常在远程管理计算机和查看计算机的共享资源时使用。通过ipc$，可以与目标机器建立连接。...用户连接（因为要在目标主机上面创建并启动服务），使用其他账号(包括管理员组中的非administrator用户)登录都会提示访问拒绝访问。...通过DCOM，客户端程序对象能够向网络中的另一台计算机上的服务器程序对象发送请求。下面通过一个实验来讲解如何使用DCOM在远程主机上面执行命令。...由于在Windows系统中，通常会使用NTLM Hash对访问资源的用户进行身份认证，所以该攻击可以在不需要明文密码的情况下，利用LM HASH和NTLM HASH直接远程登录目标主机或反弹shell。

3.5K1 0

【建议收藏】历时一年的内网学习笔记合集

可以查看本地登录的用户和通过本地计算机或远程计算机进行资源登录的用户。...如果指定用户名（在引号之间），则仅将显示该特定用户登录的PC-noping 阻止尝试枚举用户登录名之前对目标计算机执行ping命令-...现在就可以通过 VPS 的 1080 端口访问到内网主机 A 再访问到内网主机 B ，最后访问到内网资源了。...在 Kerberos 认证中，最主要的问题就是如何证明「你是你」的问题，比如当一个用户去访问服务器上的某服务时，服务器如何判断该用户是否有权限来访问自己主机上的服务，同时保证在这个过程中的通讯内容即使被拦截或篡改也不会影响通讯的安全性...该票据使用与 SPN 相关联的计算机服务账号的 NTLM Hash（RC4_HMAC_MD5），就是说，RT 会通过 Kerberoast 尝试使用不同的 NTLM Hash 来打开该 Kerberos

3.3K1 0

横向移动之RDP&Desktop Session Hijack

RedTeam获得凭据，劫持其他用户的RDP会话，并对远程系统执行任意代码，这些远程系统将使用RDP作为受感染工作站的身份验证机制。...数据包，以防止直接rdp身份验证捕获目的主机的syn数据包 ssl证书的克隆重新配置iptables规则，将流量从受害工作站路由到目标rdp主机阻止到端口88的流量，以将kerberos身份验证降级到...ntlm 步骤1-3将在受害者认证之前执行，试图通过rdp向目标服务器进行身份验证的用户将收到以下消息: ?...之后攻击者可以在已经获得访问权限的主机上执行批处理脚本将获得一个shell ? 该脚本执行之后将会在已经获得访问权限的WIndow 7主机上和远程连接的主机上同时创建启动项： ?...而RDP也允许通过远程的方式进行连接，当用户由于网络问题断开连接时用户的会话信息依旧会被保存，之后用户可以通过重新连接，Session对于用户来说非常友好，但是正如我们上图中看到的当用户会话被断开时依旧保存之前的记录信息

1.7K1 0

内网横向移动之RDP Session Hijack

RedTeam获得凭据，劫持其他用户的RDP会话，并对远程系统执行任意代码，这些远程系统将使用RDP作为受感染工作站的身份验证机制。...RDP中间人攻击，实施这种攻击需要四个参数: 以太网接口攻击者的ip 受害主机的ip 目标rdp主机的ip ....rdp主机阻止到端口88的流量，以将kerberos身份验证降级到ntlm 步骤1-3将在受害者认证之前执行，试图通过rdp向目标服务器进行身份验证的用户将收到以下消息: 当用户建立连接时，凭据将以纯文本形式显示给攻击者..."本地资源"选项中设置了加载C盘：之后攻击者可以在已经获得访问权限的主机上执行批处理脚本将获得一个shell 该脚本执行之后将会在已经获得访问权限的WIndow 7主机上和远程连接的主机上同时创建启动项...RDP也允许通过远程的方式进行连接，当用户由于网络问题断开连接时用户的会话信息依旧会被保存，之后用户可以通过重新连接，Session对于用户来说非常友好，但是正如我们上图中看到的当用户会话被断开时依旧保存之前的记录信息

860 0

【内网安全】横向移动&PTH哈希&PTT票据&PTK密匙&Kerberos&密码喷射

Hash访问远程主机或服务，而不用提供明文密码。...如果禁用了ntlm认证，PsExec无法利用获得的ntlm hash进行远程连接，但是使用mimikatz还是可以攻击成功。...用户可以通过呈现具有改变的PAC的Kerberos TGT来获得票证....将票据(上传到目标主机上)导入内存票据有效期是10个小时 #连接目标上线 shell dir \\OWA2010CN-GOD\c$ #未导入票据之前显示拒绝访问 #操作同上 shell net...3、mimikatz(需要高权限,需Ticket) 利用留在计算机内的票据利用取决于当前主机有没有被目标(域控DC)登陆过(使用域控账号登陆) mimikatz sekurlsa::tickets /

2181 0

域内横向移动分析及防御

本章内容包括：常见远程连接方式的剖析从密码学角度理解NTLM协议 PTT和PTH的原理如何利用PsExec、WMI、smbexec进行横向移动 Kerberos协议的认证过程 Windows认证加固方案...是微软官方PsTools工具包中的软件起初主要是用于大批量Windows主机的运维，在域环境下效果甚好通过PsExec，可以在远程计算机上执行命令，也可以将管理员权限提升到System权限以运行指定的程序...可以在Windows server 2016 及以前使用下载地址：https://download.sysinternals.com/files/PSTools.zip PsExec的基本原理是：通过管道在远程目标计算机上创建一个...基于组件对象模型（COM），COM提供了一套允许在同一台计算机上的客户端和服务端之间进行通信的接口（Win95及之后）客户端程序对象能够对网络中的另一台计算机上的服务器程序对象发送请求执行流程同样...每种资源分配了不同的SPN 1、SPN扫描因为域环境中的每台服务器都需要在Kerberos身份验证服务中注册SPN，所以攻击者会直接向域控制器发送查询请求，获取其需要的服务的SPN，从而知晓其需要使用的服务资源在哪台机器上

1.6K1 1

Kerberos基本概念及原理汇总

要获取特定服务的其他票证，需要TGT。票证授予票证类似于护照。与护照一样，TGT可标识您的身份并允许您获取多个“签证”，此处的“签证”（票证）不是用于外国，而是用于远程计算机或网络服务。...客户机通过向 KDC 发送其TGT作为其身份证明，从 KDC 请求特定服务（例如，远程登录到另一台计算机）的票证。 KDC 将该特定服务的票证发送到客户机。...实现了双向验证（Mutual Authentication）传统的NTLM认证基于这样一个前提：Client访问的远程的Service是可信的、无需对于进行验证，所以NTLM不曾提供双向验证的功能。...这显然有点理想主义，为此Kerberos弥补了这个不足：Client在访问Server的资源之前，可以要求对Server的身份执行认证。...NTLM仅对Impersonation提供支持，而Kerberos通过一种双向的、可传递的（Mutual 、Transitive）信任模式实现了对Delegation的支持。

12.4K2 0

Windows事件ID大全

4671 ----- 应用程序试图通过TBS访问被阻止的序号 4672 ----- 分配给新登录的特权 4673 ----- 特权服务被召唤 4674...Kerberos票证授予票证（TGT）被拒绝，因为该设备不符合访问控制限制 4821 ----- Kerberos服务票证被拒绝，因为用户，设备或两者都不符合访问控制限制 4822...----- NTLM身份验证失败，因为该帐户是受保护用户组的成员 4823 ----- NTLM身份验证失败，因为需要访问控制限制 4824 ----- 使用DES...或RC4进行Kerberos预身份验证失败，因为该帐户是受保护用户组的成员 4825 ----- 用户被拒绝访问远程桌面。...，找到策略更改并应用这些更改 5471 ----- PAStore引擎在计算机上加载了本地存储IPsec策略 5472 ----- PAStore引擎无法在计算机上加载本地存储

18.3K6 2

Windows安全认证机制之Kerberos 域认证

Kerberos作为一种可信任的第三方认证服务，是通过传统的密码技术（如共享密钥）实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取...4）Client：客户端是指需要访问资源的用户，如查看共享文件、查询数据库或远程连接。客户端在访问资源之前需要进行身份验证。...5）Server：对应域内计算机上的特定服务，每个服务都有一个唯一的SPN。5. Kerberos认证流程概括Kerberos是一种基于Ticket的认证方式。...当域内的某个用户在Client端输入完账号密码想要访问域中的某个服务时，客户端就会向AS发送一个Authenticator的认证请求，认证请求中携带了通过客户端NTLM—HASH加密的时间戳、用户名、主机...sessionKey（CT_SK )，并使用用户密码的NTLM hash对sessionKey（CT_SK )进行加密，并且使用默认账户krbtgt的NTLM hash对sessionKey、客户端信息

8891 0

PTH(Pass The Hash)哈希传递攻击手法与防范

response相同则身份验证成功，否则就验证失败 0x03 NTLM Hash和LM Hash Windows操作系统经常使用两种方法对用户的明文密码进行加密处理。...Kerberos协议的整个认证过程实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。...1.获得一台域主机的权限 2.Dump内存获得用户hash 3.通过pass the hash尝试登录其他主机 4.继续搜集hash并尝试远程登录 5.直到获得域管理员账户hash，登录域控，最终成功控制整个域...(2):windows登录认证主流的Windows操作系统，通常会使用NTLM Hash对访问资源的用户进行身份验证。NTLM 是指telnet的一种验证身份方式，即问询/应答身份验证协议。...该补丁禁止通过本地管理员权限与远程计算机进行连接，其后果就是:无法通过本地管理员权限对远程计算机使用PsExec、WMI、smbexec、schtasks、at，也无法访问远程主机的文件共享等。

8.6K3 0

在你的内网中获得域管理员权限的五种方法

用户尝试通过提供用户凭据登录到客户端。登录前，客户端计算机缓存密码的哈希值并放弃密码。客户端向服务器发送一个请求，该请求包括用户名以及纯文本格式的请求。服务器发送质询消息。...假定凭据有效，服务器授予对所请求的服务或资源的客户端访问权。...SMBRelay和较新的攻击都利用了SMB签名，并允许特权用户通过SMB/NTLM身份验证机制进行身份验证。需要注意的是，在不同网络上的Windows主机列表包含的目标很重要。...成功执行NTLM中继后，你会在执行ntmrelayx的目录中找到名为“IP_samhashes”的哈希文件。...当用户想要使用特定资源时，他们会收到一个当前运行该服务帐户的NTLM哈希和签名的Kerberos票据。下面的例子来自mubix的网站： ?

1.9K5 0

看完您如果还不明白 Kerberos 原理，算我输！

要获取特定服务的其他票证，需要 TGT 。票证授予票证类似于护照。与护照一样，TGT 可标识您的身份并允许您获取多个“签证”，此处的“签证”（票证）不是用于外国，而是用于远程计算机或网络服务。...客户机通过向 KDC 发送其 TGT 作为其身份证明，从 KDC 请求特定服务（例如，远程登录到另一台计算机）的票证。 KDC 将该特定服务的票证发送到客户机。...由于服务未使用密码登录以获取其票证，因此其主体的身份验证凭据存储在keytab密钥表文件中，该文件从Kerberos数据库中提取并本地存储在服务组件主机上具有服务主体的安全目录中。...实现了双向验证（Mutual Authentication）传统的NTLM认证基于这样一个前提：Client访问的远程的Service是可信的、无需对于进行验证，所以NTLM不曾提供双向验证的功能。...这显然有点理想主义，为此Kerberos弥补了这个不足：Client在访问Server的资源之前，可以要求对Server的身份执行认证。

16.8K7 4

内网横向移动：Kerberos认证与(哈希)票据传递攻击

Kerberos协议认证过程 Kerberos协议是一种基于第三方可信主机的计算机网络协议，用来在非安全网络中，对个人通信以安全的手段进行身份认证。...由于在Windows系统中，通常会使用NTLM Hash对访问资源的用户进行身份认证，所以该攻击可以在不需要明文密码的情况下，利用LM HASH和NTLM HASH直接远程登录目标主机或反弹shell。...成功，此时会自动弹出一个新的shell，这时访问远程主机或服务，就不用提供明文密码了，如下，我们列出了域控制器OWA的c盘目录：我们还能将msf木马copy到域控上并设置计划任务或创建服务来执行：...打上该补丁后，会禁止通过本地管理员权限与远程主机进行连接，导致无法通过本地管理员权限对远程计算机使用PsExec、WMI、smbexec、schtasks、sc等，也无法访问远程主机的文件共享。...wmi等方法进行远程执行命令了，具体操作不再演示，相比ms14-068，黄金票据可以当做一个按在普通域成员主机上的连接到域控的后门。

2.1K1 1

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭