管理工具和登录类型参考 - Windows Server

相关文章推荐

飘逸的蚂蚁 · Linux环境下段错误的产生原因及调试方法小 ...· 2 年前 ·

重感情的围巾 · RDS ...· 2 年前 ·

焦虑的灯泡 · core audio - ...· 2 年前 ·

提供此参考信息旨在帮助识别与使用不同管理工具进行远程管理相关的凭据暴露风险。

在远程管理情形中，凭据始终在源计算机上公开，因此对于敏感或高影响帐户，建议使用可信赖的特许访问工作站 (PAW)。凭据是否会公开给目标（远程）计算机上的潜在盗窃者，主要取决于连接方法所使用的 Windows 登录类型。

此表包含有关最常用管理工具和连接方法的指南：

目标上可重复使用的凭据密码、
NT 哈希、
Kerberos 票证否（例外情况，如果已启用委派，则 Kerberos 票证存在） NET USE；
RPC 调用；
远程注册表；
IIS 集成 Windows 身份验证；
SQL Windows 身份验证； Batch 密码（存储为 LSA 机密）密码（存储为 LSA 机密） Windows 服务 NetworkCleartext IIS 基本身份验证（IIS 6.0 和更高版本）；
Windows PowerShell（具有 CredSSP） NewCredentials RUNAS/网络 RemoteInteractive 密码、智能卡、
其他远程桌面（以前称为“终端服务”）

登录类型 - 请求的登录类型。

# - 安全事件日志的审核事件中报告的登录类型的数值标识符。

接受的身份验证程序 - 指示哪些类型的身份验证程序能够启动此类型登录。

LSA 会话中的可重复使用的凭据 - 指示登录类型是否会导致 LSA 会话保存凭据，如可用于对其他网络资源进行身份验证的纯文本密码、NT 哈希或 Kerberos 票证。

示例 - 列出登录类型使用的常见情形。

有关登录类型的详细信息，请参阅 SECURITY_LOGON_TYPE 枚举。

AD DS 设计和规划