首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

SQL用域用户模拟配置链接服务器- kerberos /委派要求?

SQL用域用户模拟配置链接服务器- kerberos /委派要求是指在SQL Server中配置使用域用户模拟连接到链接服务器的过程,并且使用Kerberos身份验证和委派要求来实现安全访问。

域用户模拟连接服务器是指在SQL Server中配置链接服务器,使其能够使用域用户的身份进行连接和访问。这样可以实现跨服务器的数据访问和查询操作。

Kerberos是一种网络身份验证协议,用于在客户端和服务器之间进行安全的身份验证。通过使用Kerberos,可以确保连接服务器的用户身份得到验证,并且数据传输过程中的安全性得到保障。

委派要求是指在使用链接服务器进行跨服务器查询时,将用户的身份信息委派给链接服务器,以便链接服务器可以代表用户进行查询操作。这样可以实现用户在不同服务器之间的身份委派和数据访问。

在配置SQL Server中的链接服务器时,需要进行以下步骤:

  1. 配置域用户模拟连接服务器:在SQL Server中创建链接服务器,并配置使用域用户的身份进行连接。
  2. 配置Kerberos身份验证:在SQL Server和域控制器上配置Kerberos身份验证,以确保用户身份的安全验证。
  3. 配置委派要求:在SQL Server和域控制器上配置委派要求,以实现用户身份的委派和跨服务器查询的操作。

SQL Server提供了一些相关的功能和工具来支持域用户模拟连接服务器、Kerberos身份验证和委派要求,例如:

  • Active Directory:用于管理域用户和组,配置Kerberos身份验证和委派要求。
  • SQL Server Management Studio (SSMS):用于配置链接服务器和相关的安全设置。
  • SQL Server Configuration Manager:用于配置SQL Server的网络设置和身份验证方式。
  • SQL Server Profiler:用于跟踪和分析SQL Server的查询操作和性能。

腾讯云提供了一系列的云计算产品和服务,可以满足云计算领域的需求。具体推荐的产品和产品介绍链接地址如下:

  • 腾讯云数据库SQL Server:https://cloud.tencent.com/product/cdb_sqlserver
  • 腾讯云身份认证服务:https://cloud.tencent.com/product/cam
  • 腾讯云域名服务:https://cloud.tencent.com/product/dns
  • 腾讯云云服务器:https://cloud.tencent.com/product/cvm
  • 腾讯云内容分发网络:https://cloud.tencent.com/product/cdn

请注意,以上链接仅供参考,具体的产品和服务选择应根据实际需求和情况进行评估和决策。

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

干货 | 全网最详细的Kerberos协议及其漏洞

由于服务票证是链接到请求 SPN 的帐户的哈希加密的,所以攻击者可以离线破解这个加密块,恢复帐户的明文密码。...一个内普通用户jack通过Kerberos协议认证到前台WEB服后,前台运行WEB服务的服务账号websvc模拟(Impersonate)用户jack,以Kerberos协议继续认证到后台服务器,从而在后台服务器中获取...非约束委派和约束委派的流程 1.非约束委派流程 前提:在机器账号B上配置了非约束性委派(管理员才有权限配置) 1.用户访问机器B的某个服务,于是向KDC认证。...2.约束性委派流程 前提:在服务A上配置到服务B约束性委派(管理员才有权限配置) 1.用户访问服务A,于是向控进行kerberos认证,控返回ST1服务票据给用户用户使用此服务票据访问服务A...创建用户test然后赋予SPN ? 然后在控上配置test用户到krbtgt用户的约束性委派

5.1K40

Kerberos委派学习(上)

本文作者:time(Ms08067内网安全小组成员) 委派 A 使用 kerberos 身份访问验证服务 B,B 利用 A 的身份去访问服务器 C,此过程就是委派。 ?...Service1 在步骤 3 使用模拟用户申请的 ST1 完成与用户的验证,然后响应用户。...Service1响应用户的请求。 内发现委派用户 非约束委派 通过 Import-ModulePowerView.ps1 加载 PowerView 脚本之后使用下面的命令进行查询。...--Domainyunying.lab 非约束委派利用 内只有服务账户才可以委派功能,设置用户为服务账户 setspn -U -Avariant/golden 用户 setspn -l 用户 当任意用户来访问时服务时...利用 pooler 打印机服务 ,强制控向其该服务器认证获得 TGT https://github.com/leechristensen/SpoolSample 参考链接: https://www.freebuf.com

54430
  • SPN 劫持:WriteSPN 滥用的边缘案例

    Kerberos 委托入门 Kerberos 委托是一种允许服务模拟用户到其他服务的机制。例如,用户可以访问前端应用程序,而该应用程序又可以使用用户的身份和权限访问后端 API。...Kerberos 委派有三种形式:无约束委派、约束委派和基于资源的约束委派 (RBCD)。 无约束委派 无约束委派要求用户将他们的票证授予票证 (TGT) 发送到前端服务(服务器 A)。...然后前端服务可以使用该票证来模拟用户使用任何服务,包括后端服务(服务器 B)。...约束委派 约束委派允许前端服务(服务器 A)为用户获取 Kerberos 服务票证,以访问由其服务主体名称 (SPN) 指定的预定义服务列表,例如后端服务服务器 B。...请注意,约束委派允许服务凭空模拟用户,无论他们是否通过服务验证。许多人认为这取决于 TrustedToAuthForDelegation 属性的配置

    1.2K50

    什么是内网渗透委派攻击?

    服务账号:用户的一种类型,是服务器运行服务时所用的账号,将服务运行起来加入内,比如:SQLServer,MYSQL等;用户通过注册SPN也能成为服务账号。...进 行身份验证并需要代表该用户更新后端数据库服务器上的记录的方案,这就是最早的非约束性委派。...从攻击角度来说:如果攻击者拿到了一台配置了非约束委派的机器权限,可以诱导管理员来访问该机器,然后可以得到管理员的TGT,从而模拟管理员访问任意服务,相当于拿下了整个环境。...在这种情况下,服务可以 调用S4U2Self来要求身份验证服务为其自身的任意用户生成TGS ,然后可以在调用S4U2Proxy时将其用作依据。...大致流程:user访问serviceA,向DC发起kerberos认证,控返回user的TGT和ST1票据,user使用ST1票据对serviceA进行访问如果配置了serviceA到serviceB

    14021

    渗透之委派攻击全集

    :参考Y4er jack需要登陆到后台文件服务器,经过Kerberos认证的过程如下: jack以Kerberos协议认证登录,将凭证发送给websvc websvc使用jack的凭证向KDC发起Kerberos...利用方式1 使管理员访问被控机器 找到配置了非约束委派的机器(机器账户) 并且获取了其管理员权限 这里利用WEB演示 直接administrator登录 把mimikatz传上去 先查看本地票据...约束性委派和基于资源的约束性委派配置的差别 传统的约束委派是正向的,通过修改服务A的属性msDS-AlowedToDelegateTo,添加服务B的SPN,设置约束委派对象(服务B),服务A便可以模拟用户向域控制器请求访问服务...many加入 的是控 就重新设置一下机器 先脱 然后重新加入 然后委派这些也都删除 查询把WEB加入用户 将主机加入用户(账户中有一个mSDS-CreatorSID属性...many WEB是被many加入的 利用方式1:基于资源的约束委派攻击本地提权 实验环境中 如果获取到了many的权限 就可以这个用户的权限进行本地提权了 利用many用户创建一个机器账户(每个用户默认可以创建

    88610

    利用资源约束委派进行的提权攻击分析

    委派 委派(Delegation)是一种让用户可以委托服务器代表自己与其他服务进行验证的功能,它允许服务账户在活动目录中模拟其他用户身份,主要用于当服务需要以某个用户的身份来请求访问其他服务资源的场景...委派分为无约束委派,传统的约束委派以及基于资源的约束委派。 无约束委派(Unconstrained Delegation)是一种风险性极大的委派方式,它通过TGT转发使服务器具有模拟用户的能力。...S4U2Proxy (约束委派): 为了方便理解,本文在此假设A为IIS Web Server,B为SQL Server,A需要使用数据库B以支撑用户访问。...Response 建立会话连接的请求中客户端向服务器提供了Kerberos认证方式,服务端接收并采用了MS KRB5的认证方式,使得用户可以直接以用户身份与域控制器进行验证。...Powershell Remoting通过委派用户凭证的方式使用户在远程计算机上执行任务,本质上却是远程计算机模拟用户进行操作,如果该计算机并没有被配置委派,登录到Powershell会话中的用户无则法再次使用自己凭证请求访问其他远程计算机

    2.8K20

    委派-原理以及应用

    前言 委派是指将用户的权限委派给服务账户,使得服务账号能够以用户的权限在内展开活动。...攻击与利用方式 查找配置非约束委派的主机和用户: ? ?...这里已经把票据请求出来了,就不用再去ask请求TGT票据了 3.基于资源的委派: Kerberos委派虽然有用,但本质上是不安全的,因为对于可以通过模拟帐户可以访问哪些服务没有任何限制,那么模拟帐户可以在模拟帐户的上下文中访问多个服务...基于资源的约束委派,顾名思义,现在是要被访问的资源来决定我信任谁,而不是模拟账户本身 区别:它不再需要管理员对其进行配置,可以直接在机器账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity...(此属性的作用是控制哪些用户可以模拟内任意用户,然后向该计算机进行身份验证) 传统的约束委派:在ServiceA的msDS-AllowedToActOnBehalfOfOtherIdentity属性中配置了对

    1.7K50

    红队笔记 - 横向移动

    服务器)上设置无约束委派,以允许它代表用户委派域中的任何服务(针对后端服务,例如 MSSQL 数据库)。...受限制的委派 可以在前端服务器(例如 IIS)上设置约束委派,以允许它代表用户委派给选定的后端服务(例如 MSSQL)。...这有效地允许服务仅使用他们的哈希来模拟域中的其他用户,并且在用户和前端之间未使用 Kerberos 的情况下非常有用。 DACL 属性:msDS-AllowedToDelegateTo....基于资源的约束委派 (RBCD) 将后端服务器(例如 MSSQL)配置为仅允许选定的前端服务(例如 IIS)代表用户进行委派。...这使得特定服务器管理员可以更轻松地配置委派,而无需管理员权限。 DACL 属性:msDS-AllowedToActOnBehalfOfOtherIdentity.

    2.1K10

    非约束委派攻击

    HTTP服务,需再访问S3主机上的SQL数据库,但S2并不知道用户是否拥有权限访问S3上的数据库服务权限,这时为了验证权限,S2会带着User的访问权限去申请访问SQL数据库,若User拥有权限才可进行访问...非约束委派 非约束委派Kerberos中实现时,User会将自KDC拿到的TGT发送给访问的服务机器Service1,Service1再通过拿到手的TGT票据去申请访问其他内服务,Service1在拿到用户的...14.KDC返回步骤13中请求的票据 15.和16即为Service1通过模拟用户来访问其他Service。...下面对非约束委派进行复现利用 非约束委派配置 setspn -U -A MSSQLvc/mssql.vulntarget.com:1433 win2016 当DC配置SPN给用户Win2016时,在内将可产生对用户委派...**低版本控强制认证成功案例待补充** 但再Win2019 以下如win2012 win2008等服务器内 ,使用spoolSample项目强制控机认证机器是有很大概率奏效的。

    36120

    渗透之委派攻击详解(非约束委派约束委派资源委派

    Delegation)即 Kerberos 的扩展协议 S4U2Proxy,服务账号只能获取某用户的 TGS ,从而只能模拟用户访问特定的服务,这也相对应非约束委派更安全一些。...约束委派攻击原理及利用 由于非约束委派的不安全性(配置了非约束委派的机器在 LSASS 中缓存了用户的 TGT 票据可模拟用户去访问域中任意服务),微软在 Windows Server 2003 中引入了约束委派...小提示 如果我们可以攻破配置约束委派的服务账户(获取密码/Hash),我们就可以模拟内任意用户(如 domain\administrator) 并代表其获得对已配置服务的访问权限(获取 TGS 票据)...此外,我们不仅可以访问约束委派配置用户可以模拟的服务,还可以访问使用与模拟帐户权限允许的任何服务。(因为未检查 SPN,只检查权限)。...服务账号(Service Account),用户的一种类型,服务器运行服务时所用的账号,将服务运行起来并加入

    9.9K92

    内网渗透|委派详解

    服务账号:用户的一种类型,是服务器运行服务时所用的账号,将服务运行起来加入内,比如:SQLServer,MYSQL等;用户通过注册SPN也能成为服务账号。...从攻击角度来说:如果攻击者拿到了一台配置了非约束委派的机器权限,可以诱导管理员来访问该机器,然后可以得到管理员的TGT,从而模拟管理员访问任意服务,相当于拿下了整个环境。...此时拿到了管理员的票据,mimikatz将票据注入内存中,然后访问控 导入票据 kerberos::ptt [0;11eeaa]-2-0-60810000-Administrator@krbtgt-HIRO.COM.kirbi...在这种情况下,服务可以调用S4U2Self来要求身份验证服务为其自身的任意用户生成TGS,然后可以在调用S4U2Proxy时将其用作依据。...ST服务票据,那么我们就可以模拟任意用户访问服务B了。

    2.6K40

    红队技巧-渗透的协议利用

    3.2 工具介绍 DomainPasswordSpray.ps1是PowerShell编写的工具,用于对用户执行密码喷洒攻击。...随后我们就可以拿去爆破了,不过前提就是需要伪造请求的用户名设置了"不要求Kerberos预身份认证" 5.2 两种环境的利用 5.2.1 内 工具Rebeus 使用命令直接获取内所有开启"不要求Kerberos...约束委派信息搜集 Empire下的powerview.ps1脚本 配置了约束委派的服务账号 powershell.exe -exec bypass -Command "& {Import-Module...基于资源的约束委派的利用: 基于资源的约束委派利用最常用的也就是烂番茄漏洞提权了 涉及到两种协议: S4U2Self 作用其实是协议转换,在约束委派中,因为服务器不能再获取委派用户的tgt去请求tgs了...S4U2proxy 该拓展作用是使用一张用户身份的TGS去向KDC请求一张用于访问服务器B的TGS,这张TGS的身份还是用户。 怎么来设置基于资源的约束委派呢?

    1.6K20

    横向移动与控权限维持方法总汇

    同时比较重要的一点是增加了Protected Users组,所属用户会被强制要求使用Kerberos认证,可以避免PTH攻击,以及用户注销后删除凭证(明文密码、LM/NTLM HASH、Kerberos...原来是一个一个的明文字典去爆破。 委派攻击 委派 委派是一种内主机的行为,使某个服务可以以访问的用户的身份去访问另外一个服务。...为什么需要委派呢,比如现在有web服务器和文件服务器,当用户A访问web服务器去请求某个资源时,web服务器上本身并没有该资源,所以web服务器就会从文件服务器上调用这个资源,其中发生的过程若以委派的形式进行...我们模拟管理员调用非约束性委派机的smb服务 我们回到非约束委派机,查看票据 tgt被截获,我们 sekurlas::tickets /export 把票据导出来 然后mimikatz里使用 kerberos...如果要求单个参数双引号引起来,请使用适合您的编程语言的技术。

    1.6K20

    红队技巧-渗透的协议利用

    3.2 工具介绍 DomainPasswordSpray.ps1是PowerShell编写的工具,用于对用户执行密码喷洒攻击。...随后我们就可以拿去爆破了,不过前提就是需要伪造请求的用户名设置了"不要求Kerberos预身份认证" 5.2 两种环境的利用 5.2.1 内 工具Rebeus 使用命令直接获取内所有开启"不要求Kerberos...约束委派信息搜集 Empire下的powerview.ps1脚本 配置了约束委派的服务账号 powershell.exe -exec bypass -Command "& {Import-Module...基于资源的约束委派的利用: 基于资源的约束委派利用最常用的也就是烂番茄漏洞提权了 涉及到两种协议: S4U2Self 作用其实是协议转换,在约束委派中,因为服务器不能再获取委派用户的tgt去请求tgs了...S4U2proxy 该拓展作用是使用一张用户身份的TGS去向KDC请求一张用于访问服务器B的TGS,这张TGS的身份还是用户。 怎么来设置基于资源的约束委派呢?

    93520

    Kerberos Bronze Bit攻击(CVE-2020-17049)

    攻击者现在可以执行以下操作: 攻击者可以模拟 “受保护用户”组的成员以及 “账户敏感且无法委派配置用户。 攻击者可以禁止执行身份验证协议转换的服务,发起攻击。...或者攻击设置了信任该计算机来委派指定的服务器选项===> 仅使用Kerberos 大致的攻击思路如下: 首先攻击者获取了在内的某台机器作为立足点。...如果允许Service1执行协议转换(即使用“ TrustedToAuthForDelegation”进行配置),保护用户免受委托,执行过程如下: 攻击者可以利用最终的服务票据,模拟目标用户和Service2...绕过限制并准备好服务票据后,攻击者可以模拟目标用户和Service2进行交互 实验环境配置:one.com 控:dc,IP:192.168.8.155,用户:administrator 内机器...Example Attack #2 第二个是基于资源委派的攻击,首先把之前的实验配置都还原。首先删除dm1的委派权限。连接DC,并把dm1配置为“不信任此计算机进行委派”。

    70110

    Domain Escalation: Unconstrained Delegation

    基本介绍 在Windows 2000之后微软引入了一个选项,用户可以通过Kerberos在一个系统上进行身份验证,并在另一个系统上工作,这种技术主要通过委派机制来实现,无约束委派通过TGT转发技术实现,...而这也是我们将本文中讨论的内容 委派介绍 Kerberos委派使服务能够模拟计算机或用户以便使用用户的特权和权限参与第二个服务,为什么委派是必要的经典例证呢,例如:当用户使用Kerberos或其他协议向...web服务器进行身份验证时,服务器希望与SQL后端或文件服务器进行交互 Kerberos委托的类型: 不受限制的委托 受约束的委托 RBCD(基于资源的受限委派) SPN介绍 Kerberos身份验证使用...,如果用户请求在具有不受约束的委托的服务器集上的服务的服务票据时,该服务器将提取用户的TGT并将其缓存在其内存中以备后用,这意味着服务器可以冒充该用户访问域中的任何资源 在计算机帐户上,管理员可以为不受限制的委派设置以下属性...TGT并将它们存储在缓存中 这个TGT可以代表经过身份验证的用户访问后端资源 代理系统可以使用这个TGT请求访问域中的任何资源 攻击者可以通过使用用户委派TGT请求任何服务(SPN)的TGS来滥用不受限制的委派

    80320

    内网协议NTLM之内网大杀器CVE-2019-1040漏洞

    攻击者可以修改已经协商签名的身份验证流量,然后中继到另外一台服务器,同时完全删除签名要求。通过该攻击方式可使攻击者在仅有一个普通账号的情况下,运程控制域中任意机器(包括服务器)。...4.通过滥用基于资源的约束Kerberos委派,可以在AD服务器上授予攻击者模拟任意用户权限。包括管理员权限。 5.如果在可信但完全不同的AD林中有用户,同样可以在域中执行完全相同的攻击。...3.使用中继的LDAP身份验证,将受害者服务器的基于资源的约束委派权限授予攻击者控制下的计算机帐户。 4.攻击者现在可以作为AD服务器上的任意用户进行身份验证。包括管理员。...这里利用CVE-2019-1040漏洞打Kerberos委派的话有两个利用场景,假如我们已经获取到了内某台机器的权限,并且利用这用户创建了一个计算机用户。...通过secretsdump dump出所有密码哈希值: 我们也可以通过直接通过ldaps来添加机器用户来达到配置委派。这个需要域控制器添加到ldaps的证书才能连接ldaps。

    6.5K31

    【内网安全】横向移动&非约束委派&约束委派&资源约束委派&数据库攻防

    从而机器B就能使用这个TGT模拟认证用户用户)访问服务。...利用场景 攻击者拿到了一台配置非约束委派的机器权限,可以诱导管来访问该机器,然后得到管理员的TGT,从而模拟用户 复现配置 1、信任此计算机来委派任何服务(控DC) 2、setspn...HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters 将SysvolReady键值更改为1 2、网络问题:网络连接不稳定、DNS服务器配置错误等都可能导致连接失败...利用场景: 如果攻击者控制了服务A的账号,并且服务A配置了到控的CIFS服务的约束性委派。...复现配置 1、机器设置仅信任此计算机指定服务-cifs 2、用户设置仅信任此计算机指定服务-cifs 这里搭建环境稍微麻烦一点, 判断查询 查询机器用户(主机)配置约束委派 AdFind

    17010
    领券