Archives by Tag 'Kerberos'

How to purge Kerberos tickets for a different session using KLIST

By Andrei Ungureanu - Last updated: Sunday, December 4, 2016

Cam orice admin cu experienta ar trebui sa stie cum functioneaza Kerberos si de existenta utilitarului KLIST. In ultimele versiuni de Windows nu mai trebuie instalat nimic, este deja livrat cu sistemul de operare. Pentru cei ce nu sunt familiari, o sa amintesc scenariul clasic in care adaugi un user intr-un grup ce ii da […]

Kerberos Token Bloat, Again

By Andrei Ungureanu - Last updated: Sunday, March 27, 2016

Am mai scris si o sa mai scriu probabil despre subiectul asta pentru ca pe masura ce trece timpul sunt sigur ca o sa vad tot mai multe astfel de cazuri (asta daca nu migreaza toata lumea pe Windows 10 si Windows 2012R2 sau mai mare). Ca definitie, Kerberos Token Bloat se refera la scenariul […]

Kerberos Preauthentication

By Andrei Ungureanu - Last updated: Friday, July 18, 2014

Tocmai ce am gasit intr-un AD setarea Do not require Kerberos preauthentication activata pe cateva conturi de user. Tot ce imi vine in  minte este ca cineva a incercat ceva in timpul unui proces de troubleshooting ca altfel nu inteleg. Si sincer pana acum nu am dat de nici un environment cu Windows care sa […]

Protection from Kerberos Golden Ticket – CERT-EU

By Andrei Ungureanu - Last updated: Tuesday, July 8, 2014

Via CatalinB am primit si un document legat de Kerberos PtH publicat de CERT-EU http://cert.europa.eu/static/WhitePapers/CERT-EU-SWP_14_07_PassTheGolden_Ticket_v1_1.pdf Merita sa aruncati un ochi si sa fiti constienti ca astfel de atacuri sunt posibile acum (prin mimikatz). Mai jos sunt alte doua link-uri luate din document ce mi se par foarte utile: http://blogs.technet.com/b/security/archive/2012/12/06/new-guidance-to-mitigate-determined-adversaries-favorite-attack-pass-the-hash.aspx http://technet.microsoft.com/en-us/library/bb727066.aspx#ECAA PS: Sunt curios daca in […]

What’s the role of krbtgt account in Active Directory?

By Andrei Ungureanu - Last updated: Thursday, June 12, 2014

Dupa atatia ani de Active Directory inca se mai pune intrebarea asta si anume “la ce foloseste contul krbtgt?” sau “pot sa-l sterg?”. Ei bine, contul asta e ceva esential pentru functionarea AD, mai exact pentru functionarea protocolului Kerberos. Daca studiati putin (exista o sumedenie de tutoriale pe net despre Kerberos) o sa vedeti ca […]

Forcing NTLM authentication in Internet Explorer

By Andrei Ungureanu - Last updated: Thursday, May 30, 2013

De curand am tot vazut erori legate de autentificarea Kerberos si probleme cu SPN-ul definit pe computer account sau probleme cu modul in care este accesat un server. Si am vazut cazul in care cineva incearca sa se autentifice din IE la un server, sa zicem server1.contoso.com dar folosind o alta inregistrare DNS gen server2.contoso.com. […]

Refreshing AD group membership without logoff/reboot

By Andrei Ungureanu - Last updated: Monday, March 4, 2013

Cum tocmai am observat ceva parametri noi in comanda KLIST de pe Windows 2012, m-am gandit sa pomenesc un scenariu in care aceasta comanda este de foarte mare folos. Si anume, atunci cand actualizati group membership-ul unui utilizator si vreti ca schimbarile sa aiba efect instant fara a mai face logoff. Folosind KLIST PURGE vom […]

Kerberos & Time difference between computers

By Andrei Ungureanu - Last updated: Tuesday, September 11, 2012

Cei cu experienta pe Windows 2000 stiu de problemele aparute atunci cand exista o diferenta semnificativa de timp intre client si domain controller. Iar de atunci asta e un lucru pe care il verificam de fiecare data cand investigam probleme de autentificare. Insa recent am aflat ca inca de la Windows 2003 nu prea mai […]