&

揭秘Windows網(wǎng)絡(luò)登錄的秘密：這項(xiàng)功能每天用卻從不知道背后原理

當(dāng)前位置：點(diǎn)晴教程→知識(shí)管理交流 →『技術(shù)文檔交流』

admin

2025年3月18日 0:45 本文熱度 565

在日常使用 Windows 計(jì)算機(jī)時(shí)，我們可能會(huì)遇到不同類(lèi)型的登錄方式，比如 本地登錄（Interactive Logon） 和 網(wǎng)絡(luò)登錄（Network Logon）。如果你曾在公司網(wǎng)絡(luò)中訪(fǎng)問(wèn)共享文件夾、遠(yuǎn)程管理服務(wù)器，或者使用遠(yuǎn)程打印機(jī)，你已經(jīng)在無(wú)意間使用了 網(wǎng)絡(luò)登錄。

那么，什么是網(wǎng)絡(luò)登錄？它是如何工作的？又該如何保障其安全性？今天，我們就來(lái)深入探討 Windows 網(wǎng)絡(luò)登錄的原理、應(yīng)用場(chǎng)景和安全防護(hù)措施。

?? 什么是 Windows 網(wǎng)絡(luò)登錄？

網(wǎng)絡(luò)登錄（Network Logon），顧名思義，就是用戶(hù)或計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪(fǎng)問(wèn)另一臺(tái)計(jì)算機(jī)，而不是在本地鍵盤(pán)和屏幕上直接輸入賬號(hào)密碼進(jìn)行登錄（本地登錄）。

在 Windows 事件日志 中，網(wǎng)絡(luò)登錄的 "Logon Type"（登錄類(lèi)型）為 3，并記錄在 事件 ID 4624（成功登錄）或 4625（失敗登錄） 中。

?? 典型的網(wǎng)絡(luò)登錄場(chǎng)景

? 訪(fǎng)問(wèn)共享文件夾（SMB）：
例如，你在公司局域網(wǎng)內(nèi)，輸入 \\192.168.1.100\shared 訪(fǎng)問(wèn)共享文件夾，這就是一個(gè)網(wǎng)絡(luò)登錄。

? 遠(yuǎn)程管理計(jì)算機(jī)（WinRM）：
使用 PowerShell 遠(yuǎn)程執(zhí)行命令，例如：

Enter-PSSession -ComputerName Server01 -Credential DOMAIN\User

? 遠(yuǎn)程打印機(jī)：
連接到公司網(wǎng)絡(luò)上的共享打印機(jī)進(jìn)行打印。

?? 事件日志中的網(wǎng)絡(luò)登錄

Windows 通過(guò) 安全日志（Security Log） 記錄所有的登錄事件，包括 交互式登錄（Interactive Logon）和網(wǎng)絡(luò)登錄（Network Logon）。

?? 事件 ID 4624（成功登錄）

Log Name:      Security  
Source:        Microsoft-Windows-Security-Auditing  
Event ID:      4624  
Task Category: Logon  
Level:         Information  
User:          DOMAIN\User  
Logon Type:    3  (Network Logon)

?? 事件 ID 4625（失敗登錄）

Log Name:      Security  
Source:        Microsoft-Windows-Security-Auditing  
Event ID:      4625  
Task Category: Logon  
Level:         Information  
User:          DOMAIN\User  
Logon Type:    3  (Network Logon)

?? Windows 網(wǎng)絡(luò)登錄的身份驗(yàn)證機(jī)制

Windows 支持多種方式進(jìn)行 身份驗(yàn)證（Authentication），確保用戶(hù)或計(jì)算機(jī)的身份是真實(shí)可信的。常見(jiàn)的認(rèn)證機(jī)制包括：

1?? Kerberos 認(rèn)證

Windows 域環(huán)境的默認(rèn)認(rèn)證協(xié)議，通常用于企業(yè)內(nèi)部網(wǎng)絡(luò)。
采用 票據(jù)（Ticket）機(jī)制，即用戶(hù)先獲取一個(gè)票據(jù)授權(quán)票據(jù)（TGT），然后再使用它換取特定服務(wù)的訪(fǎng)問(wèn)權(quán)限。
優(yōu)點(diǎn)：更安全，對(duì)密碼的依賴(lài)較少，支持單點(diǎn)登錄（SSO）。

2?? NTLM 認(rèn)證（NT LAN Manager）

較舊的身份驗(yàn)證協(xié)議，仍用于 非域環(huán)境 或特定場(chǎng)景。
采用 挑戰(zhàn)-響應(yīng)（Challenge-Response） 機(jī)制，即服務(wù)器向客戶(hù)端發(fā)起挑戰(zhàn)，客戶(hù)端用密碼加密后返回，服務(wù)器進(jìn)行匹配驗(yàn)證。
缺點(diǎn)：容易被“Pass-the-Hash（PTH）攻擊”利用，攻擊者可以用竊取的哈希值冒充用戶(hù)登錄。

3?? TLS/SSL 認(rèn)證

主要用于 HTTPS 訪(fǎng)問(wèn) 和 VPN 連接，確保數(shù)據(jù)傳輸加密。
依賴(lài) 公鑰基礎(chǔ)設(shè)施（PKI） 進(jìn)行身份驗(yàn)證。

4?? Digest 認(rèn)證

主要用于 Web 服務(wù)器或 LDAP 認(rèn)證，比 NTLM 更安全。

?? 參考：Windows 認(rèn)證機(jī)制概覽

?? 網(wǎng)絡(luò)登錄與 LSASS 進(jìn)程的安全性

Windows 中的 LSASS（Local Security Authority Subsystem Service） 進(jìn)程是安全認(rèn)證的核心，負(fù)責(zé) 存儲(chǔ)和管理用戶(hù)憑據(jù)。

?? 關(guān)于 LSASS 進(jìn)程的安全特性

通常，網(wǎng)絡(luò)登錄的憑據(jù)不會(huì)緩存在 lsass.exe 進(jìn)程的內(nèi)存空間中。
交互式登錄（Logon Type 2）和遠(yuǎn)程交互式登錄（Logon Type 10） 的憑據(jù)更容易被緩存，因此更容易受到 Mimikatz 等工具的攻擊。

?? 特殊情況：使用 PsExec 遠(yuǎn)程執(zhí)行命令

PsExec.exe \\RemoteServer -u DOMAIN\User -p Password cmd.exe

默認(rèn)情況下，網(wǎng)絡(luò)登錄的憑據(jù)不會(huì)緩存在 lsass.exe 中。
如果使用 -u 選項(xiàng)提供備用憑據(jù)，則 可能導(dǎo)致憑據(jù)被緩存，增加攻擊風(fēng)險(xiǎn)。

?? 如何提升 Windows 網(wǎng)絡(luò)登錄的安全性？

針對(duì) 網(wǎng)絡(luò)登錄 的安全防護(hù)，我們可以采取以下措施：

? 1. 禁用 NTLM 認(rèn)證，強(qiáng)制使用 Kerberos

NTLM 認(rèn)證容易受到 Pass-the-Hash（PTH）攻擊，建議在域環(huán)境中 僅啟用 Kerberos。

?? 配置 GPO 限制 NTLM

Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options  
Network Security: LAN Manager authentication level > "Send NTLMv2 response only. Refuse LM & NTLM"

? 2. 啟用 Windows Defender Credential Guard

保護(hù) LSASS 進(jìn)程，防止憑據(jù)被提取。
隔離 NTLM、Kerberos、Digest 認(rèn)證憑據(jù)，防止惡意軟件訪(fǎng)問(wèn)。

?? 啟用 Credential Guard

Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-Credential-Guard

? 3. 配置遠(yuǎn)程管理工具，避免憑據(jù)緩存

使用 RunAs /netonly 方式運(yùn)行遠(yuǎn)程命令，避免憑據(jù)緩存。
限制 PsExec、WinRM 等工具的使用權(quán)限，防止濫用。

?? 結(jié)語(yǔ)

Windows 網(wǎng)絡(luò)登錄（Network Logon） 是遠(yuǎn)程訪(fǎng)問(wèn)計(jì)算機(jī)和資源的主要方式，廣泛應(yīng)用于 文件共享、遠(yuǎn)程管理、身份驗(yàn)證 等場(chǎng)景。

本篇文章介紹了：
? 網(wǎng)絡(luò)登錄的概念與 Windows 事件日志標(biāo)識(shí)
? 網(wǎng)絡(luò)登錄的主要認(rèn)證機(jī)制（Kerberos、NTLM、TLS、Digest）
? LSASS 進(jìn)程與憑據(jù)存儲(chǔ)的安全性
? 如何加強(qiáng) Windows 網(wǎng)絡(luò)登錄的安全防護(hù)

希望本篇文章能幫助你更深入理解 Windows 網(wǎng)絡(luò)登錄的工作原理，并提升相關(guān)安全防護(hù)能力！ ????

閱讀原文：原文鏈接

該文章在 2025/3/18 12:37:03 編輯過(guò)

關(guān)鍵字查詢(xún)