Допустим, в моем домене есть машина, которая была взломана неизвестным злоумышленником. Если я использую учетные данные своего домена для удаленного входа на этот компьютер через RDP, раскрывает ли это мои учетные данные злоумышленнику?
Я знаю, что AD использует Kerberos внутри, но мне неясно, получает ли клиент RDP билет kerberos непосредственно от контроллера домена или отправляет информацию для входа на сервер, который затем получает билет.
Для пояснения, компьютер, на котором работает mstsc, - это Windows 7, а возможно скомпрометированный компьютер - 2008 R2.
Он предоставит ваши учетные данные так же, как если бы вы вводили их в терминале на взломанной машине (например, возможно, совсем не, но вполне возможно). Хотя SSPI (особенно Kerberos) поддерживается начиная с RDP6.0, обычно mstsc не получает билет Kerberos; он отправляет ваши нажатия клавиш через соединение RDP (зашифрованное с помощью сертификата компьютера скомпрометированной машины), а сервер RDP получает билет Kerberos.
Если вы хотите убедиться, что сервер не может украсть ваш пароль, вам необходимо убедиться, что вы используете Kerberos для аутентификации по RDP. Вы также можете использовать аутентификацию на основе сертификатов (то есть смарт-карту), но имейте в виду, что, если не настроено иное, RDP во многих случаях будет проходить через аутентификацию смарт-карты.
Также имейте в виду, что кража ваших учетных данных - не единственная угроза здесь. Независимо от того, что целевая машина в какой-то момент будет иметь ваш билет на выдачу билетов, а это означает, что он сможет выполнять действия от имени вас для действительности билета на выдачу билетов. Это в основном фиксация сеанса. Скомпрометированный сервер может просто захватить ваш сеанс.
Короче говоря, нет, это не особенно безопасно.
Возможно, вы захотите скорректировать свои ожидания, поскольку у сегодняшнего злоумышленника больше преимуществ, чем вы думаете.
Любой компьютер Windows, который был скомпрометирован, любой, кто вошел в систему, их токен остается в памяти до перезапуска машины. Возможно, и уже несколько лет это широко известно, взломать токены в памяти и выдать себя за эти учетные записи. Эти скомпрометированные токены могут использоваться для атаки других систем по сети с этими учетными данными.
Также стоит отметить, что, хотя у токенов Kerberos есть срок действия, у токенов процессов Windows его нет - они бессрочны. Это было особенно любопытное дизайнерское решение, учитывая, что у токенов аутентификации есть поле срока действия, но оно не используется Windows.