Determinar o uso de UPN para logon dentro da floresta / domínio do MS AD

1

talvez alguém possa me dar uma dica sobre isso.

Estou avaliando os pré-requisitos para alterar todo o UPN do usuário (humano) em um ambiente Microsoft AD grande para o formato MS recomendado (alinhado com o endereço de correio público primário do usuário, incluindo o domínio de e-mail publicamente roteável do usuário como sufixo UPN).

Agora, a alteração de um UPN pode interromper aplicativos ou serviços ou interromper processos de logon do usuário quando o UPN é utilizado.

Estou ciente de que o UPN não é amplamente usado para logons na maioria dos ambientes de hoje ainda gostaria de elaborar se há uma maneira de diagnosticar o uso de UPNs para processos de logon.

Estamos falando de um nível funcional bem acima de 2003, mas com o NTLM ativo. Controladores de Domínio Relevantes estão executando 2012 e 2012R2. O cenário é, neste caso, limitado a uma única floresta com três domínios. Embora isso seja uma fração do ambiente, é a única parte relevante para a alteração do UPN.

Primeiro e mais simples seria verificar o log de eventos em controladores de domínio para eventos de logon. O problema é: até onde eu vejo, eles sempre logam no formato "legado" de "DOMAIN \ username", não importa qual tipo de representação de id de usuário foi usada para fazer logon. Por favor me corrija se eu estiver errado, pois isso realmente aceleraria as coisas de forma maciça.

A próxima coisa que vem à minha mente são os traços de rede dos tíquetes do Kerberos indo e voltando. Se não estou enganado sobre o Kerberos, eles são inicialmente criptografados usando a senha do usuário e, para inspecioná-los, eu precisaria descriptografar o ticket usando dados do (provavelmente) cliente desconhecido.

Agora, isso é onde eu estou incerto e espero estar errado, pois em algum momento os DCs precisam determinar qual hash de senha eles utilizam para descriptografar a mensagem. Eu admito que não fiz muitos testes sobre isso, já que eu não queria modificar os CDs agora ...

Talvez exista uma maneira diferente de abordar isso que ainda não pensei - de qualquer maneira, espero que alguém possa me dar uma pista sobre possíveis formas de lidar com esse problema. Eu odiaria "aplicar a mudança e abaixar-se", preferiria acertar na primeira vez, se possível.

    
por Matthias Raithel 21.01.2016 / 10:52

1 resposta

1

Ok, eu posso agora, depois do testlab, responder a mim mesmo. A solicitação inicial de um TGT do sistema que está sendo conectado ao controlador de domínio contém o nome de usuário em texto não criptografado na carga útil do kerberos do (s) pacote (s) de rede (que já era conhecido).

Mas:

Ao fazer o login com nome_do_domínio \ nome_do_usuário , este será o nome_do_usuário .

Ao efetuar login com o UPN , este será o UPN completo do usuário

O pacote que você estaria procurando é TCP, carga útil KRB5, tipo de mensagem krb-as-req (10) O nome de usuário está sob a seção "cname" com o tipo de nome "KRB5-NT-ENTERPRISE-PRINCIPAL"

Portanto, para descobrir se você tem UPNs em uso na sua rede, rastreie todos esses pacotes que chegam aos seus DCs, depois de algum tempo, salve os rastreamentos em disco e filtre pelo sinal "@".

    
por 01.02.2016 / 10:10