假设我的域名上有一台已经被未知攻击者入侵的机器。 如果我使用域名凭证通过RDP远程login到该计算机,是否会将我的凭据公开给攻击者?
我知道AD在内部使用kerberos,但我不清楚RDP客户端是否直接从域控制器获取kerberos票据,或者是否将login信息发送到服务器,然后获取票据。
为了说明,运行mstsc的计算机是Windows 7,可能受到威胁的计算机是2008 R2。
你可能想要调整你的期望,因为今天的攻击者比你想象的更有优势。
任何已经被入侵的Windows机器,任何已经login到该机器的人,他们的令牌都将保留在内存中,直到机器重新启动。 这是可能的,并已被广泛知道了几年,妥协的记忆令牌,冒充这些帐户。 那些被盗用的令牌可以被用来通过这些证书在networking上攻击其他系统。
还值得注意的是,尽pipeKerberos令牌有一个到期,但Windows处理令牌不会 – 它们是不确定的。 这是一个特别好奇的devise决定,鉴于身份validation令牌具有到期字段,但不被Windows使用。
它将以与在被入侵的机器上的terminalinput它们相同的方式暴露你的凭证(例如可能根本不可能,但很有可能)。 尽pipe从RDP6.0开始支持SSPI(特别是Kerberos),但通常mstsc并不能获得Kerberos票据; 它会通过RDP连接发送击键(针对受损机器的机器证书进行encryption),并且RDP服务器获得kerberos票据。
如果你想确保服务器不能窃取你的密码,你需要确定你正在使用Kerberos通过RDP进行身份validation。 您也可以使用基于证书的(即智能卡)身份validation – 但请记住,除非另行configuration,否则在很多情况下,RDP将通过智能卡身份validation。
同时请记住,窃取您的凭证不是这里唯一的威胁。 无论如何,目标机器在某个时刻都会有您的票证授予票据,这意味着它将能够执行与票证授予票据的有效性相同的操作。 这基本上是会话固定。 受感染的服务器也可能只是劫持你的会话。
总之,不,这不是特别安全。