开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何将活动日志中的对象ID与用户、SPN声明或UPN声明相关联

将活动日志中的对象ID与用户、SPN声明或UPN声明相关联的方法是通过使用Azure Active Directory (Azure AD) 的身份验证和授权功能。

Azure AD 是一种云身份和访问管理服务，可帮助组织管理用户身份和访问权限。它提供了一种集中式的身份验证和授权机制，可以与各种应用程序和服务集成。

要将活动日志中的对象ID与用户、SPN声明或UPN声明相关联，可以按照以下步骤进行操作：

创建 Azure AD 应用程序：在 Azure 门户中，创建一个 Azure AD 应用程序。应用程序代表你的应用程序或服务，用于与 Azure AD 进行身份验证和授权交互。在创建应用程序时，你将获得一个应用程序 ID，这是一个唯一标识符，用于标识你的应用程序。
配置应用程序权限：在 Azure AD 应用程序的设置中，配置应用程序需要的权限。这些权限决定了你的应用程序可以访问的资源和操作。例如，你可以配置应用程序具有读取用户信息的权限。
获取访问令牌：当用户使用你的应用程序进行身份验证时，你的应用程序需要获取一个访问令牌，以便代表用户进行后续的操作。你可以使用 Azure AD 的身份验证终结点来获取访问令牌。在获取访问令牌时，你需要提供应用程序的身份验证凭据（应用程序 ID 和机密）。
解析访问令牌：获取访问令牌后，你的应用程序可以解析令牌以获取有关用户的信息，包括对象ID、用户ID、SPN声明或UPN声明等。这些信息可以帮助你将活动日志中的对象ID与用户、SPN声明或UPN声明相关联。

需要注意的是，具体的实现细节和代码会根据你使用的编程语言和开发框架而有所不同。你可以参考 Azure AD 的文档和示例代码来了解如何在你的应用程序中实现这些步骤。

推荐的腾讯云相关产品：腾讯云身份认证服务（Cloud Authentication Service，CAS），它是腾讯云提供的一种身份认证服务，可帮助组织实现用户身份验证和访问控制。CAS 提供了多种身份验证方式，包括用户名密码、短信验证码、微信扫码等。你可以使用 CAS 来实现用户身份验证，并将活动日志中的对象ID与用户相关联。

更多关于腾讯云身份认证服务的信息和产品介绍，可以访问以下链接： https://cloud.tencent.com/product/cas

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

本地帐户和活动目录帐户

本地帐户Local Accounts存储在本地的服务器上。这些帐户可以在本地服务器上分配权限，但只能在该服务器上分配。默认的本地帐户是内置帐户(如administrator、guest等)，在安装Windows时自动创建。Windows安装后，无法删除默认的本地帐户。此外，默认的本地帐户不提供对网络资源的访问。默认的本地帐户用于根据分配给该帐户的权限来管理对本地服务器资源的访问。默认的本地帐户和后期创建的本地帐户都位于“用户”文件夹中。

03

[WCF安全系列]服务凭证（Service Credential）与服务身份（Service Identity）

在采用TLS/SSL实现Transport安全的情况下，客户端对服务证书实施认证。但是在默认情况下，这种认证仅仅是确保服务证书的合法性（通过数字签名确保证书确实是由申明的CA颁发）和可信任性（证书或者CA证书存储于相应的可信赖存储区）。而WCF提供服务证书并不限于此，客户端对服务认证的模式应该是这样的：服务端预先知道了服务的身份，在进行服务调用之前，服务端需要提供相应的凭证用以辅助客户端确认调用的服务具有预先确定的身份。对于这样的服务认证模式，具有两个重要的概念，即服务凭证和服务身份。目录：

08

（翻译）LearnVSXNow!-#7 创建我们第一个工具集－完成这个示例

在上一篇文章中，我们创建了一个例子：我们为一个空的package添加了一个菜单命令，并且在这个过程中了解了Visual Studio Command Table文件的作用和用法。

03

SPN服务主体名称发现详解

Kerberos是一种支持票证身份验证的安全协议。如果客户端计算机身份验证请求包含有效的用户凭据和服务主体名称 (SPN)，则 Kerberos 身份验证服务器将授予一个票证以响应该请求。然后，客户端计算机使用该票证来访问网络资源。在内部网络中，SPN扫描通过查询向域控制器执行服务发现。这对于红队而言，可以帮助他们识别正在运行重要服务的主机，如终端、交换机、微软SQL等，并隐藏他们。此外，SPN的识别也是kerberoasting攻击的第一步。

00

CDP私有云基础版用户身份认证概述

对于任何计算环境来讲，身份验证是最基本的安全要求。简单来说，用户和服务必须先向系统证明其身份（身份验证），然后才能在授权范围内使用系统功能。身份验证和授权携手并进，以保护系统资源。授权有多种方式处理，从访问控制列表（ACL）到HDFS扩展的ACL，再到使用Ranger的基于角色的访问控制（RBAC）。

02

内网渗透 | SPN 与 Kerberoast 攻击讲解

内网渗透 | Kerberos 协议与 Kerberos 认证原理内网渗透 | Kerberos 协议相关安全问题分析与利用

03

蜜罐账户的艺术：让不寻常的看起来正常

本文介绍如何创建用作蜜罐（或蜜令牌）的帐户，这些帐户看起来像是提供了攻击者想要的东西（访问），但最终提供了防御者想要的东西（检测）。重点是使蜜罐帐户在 Active Directory 中看起来正常且“真实”，并且此前提应该在某种程度上可以移植到其他系统。

01

域权限维持之DCShadow

2018年1月24日，在BlueHat安全会议上，安全研究员Benjamin Delpy 和 Vincent Le Toux 公布了针对微软活动目录域的一种新型攻击技术------DCShaow。利用该攻击技术，具有域管理员权限或企业管理员权限的恶意攻击者可以创建恶意域控，然后利用域控间正常同步数据的功能将恶意域控上的恶意对象同步到正在运行的正常域控上。由于执行该攻击操作需要域管理员权限或企业管理员权限，因此该攻击技术通常用于域权限维持。

03

域权限维持之DCShadow

微软MS-ADTS（MicroSoft Active Directory Technical Specification）中指出，活动目录是一个依赖于专用服务器架构。域控便是承载此服务的服务器，它托管活动目录对象的数据存储，并与其他的域控互相同步数据，以确保活动目录对象的本地更改在所有域控之间正确的复制。域控间的数据的复制由运行在NTDS服务上一个名为KCC（Knowledge Consistency Checker）的组件所执行。

01

Cloudera安全认证概述

身份验证是任何计算环境的基本安全要求。简单来说，用户和服务必须先向系统证明其身份（身份验证），然后才能在授权范围内使用系统功能。身份验证和授权携手并进，以保护系统资源。授权使用多种方式处理，从访问控制列表（ACL）到HDFS扩展ACL，再到使用Ranger的基于角色的访问控制（RBAC）。

01

SPN 劫持：WriteSPN 滥用的边缘案例

假设攻击者破坏了为约束委派设置的帐户，但没有 SeEnableDelegation 权限。攻击者将无法更改约束 (msDS-AllowedToDelegateTo)。但是，如果攻击者对与目标 SPN 关联的帐户以及另一台计算机/服务帐户拥有 WriteSPN 权限，则攻击者可以临时劫持 SPN（一种称为 SPN 劫持的技术），将其分配给另一台计算机/服务器，并执行完整的 S4U 攻击以破坏它。

05

db2 日志管理

DB2日志是以文件的形式存放在文件系统中，分为两种模式：循环日志和归档日志。当创建新数据库时，日志的缺省模式是循环日志。在这种模式下，只能实现数据库的脱机备份和恢复。如果要实现联机备份和恢复，必须设为归档日志模式。

03

内网渗透 | 域渗透之SPN服务主体名称

SPN(ServicePrincipal Names)服务主体名称，是服务实例(比如：HTTP、SMB、MySQL等服务)的唯一标识符。

01

SPN信息扫描

在使用Kerberos身份验证的网络中，必须在内置计算机帐户（如NetworkService或LocalSystem）或用户帐户下为服务器注册SPN。对于内置帐户，SPN将自动进行注册。但是，如果在域用户帐户下运行服务，则必须为要使用的帐户手动注册SPN。因为域环境中每台服务器都需要在Kerberos身份验证服务注册SPN，所以我们可以直接向域控制器进行查询我们需要的服务的SPN，就可以找到我们需要使用的服务资源在哪台机器上。Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个域中的计算机上安装多个服务实例，则每个实例都必须具有自己的SPN。如果客户端可能使用多个名称进行身份验证，则给定的服务实例可以具有多个SPN。例如，SPN总是包含运行服务实例的主机名称，所以服务实例可以为其主机的每个名称或别名注册一个SPN。

01

Oracle 12.2新特性掌上手册 - 第五卷 RAC and Grid

编辑手记：RAC是Oracle最重要的高可用架构之一，具有扩展性良好、实现负载均衡等多维度的优势，Oracle RAC提供了相应的集群软件和存储管理软件，今天我们一起来学习在12.2中，Oracle在RAC集群资源的管理上有哪些重要的更新。注：文章内容来自官方文档翻译。若需要了解更多，请查阅官方文档。 1 Oracle Flex ASM Disk Group Quota Management（Oracle 弹性 ASM磁盘组配额管理） Oracle 弹性 ASM磁盘组提供了一组强大的功能，可以增加在使用A

04

SPN服务主体名称

SPN(ServicePrincipal Names)服务主体名称，是服务实例(如：HTTP、SMB、Exchange等服务)的唯一标识符。Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个林或域中的计算机上安装多个服务实例，则每个实例都必须具有自己的 SPN。如果客户端使用多个名称进行身份验证，则给定服务实例可以具有多个SPN。SPN 始终包含运行服务实例的主机名，因此服务实例可以为其主机的每个名称或别名注册SPN。一个用户账户下可以有多个SPN，但一个SPN只能注册到一个账户。如果想使用 Kerberos 协议来认证服务，那么必须正确配置SPN。

02

用户行为数据采集系统

本文将重点探讨数据采集层中的用户行为数据采集系统。这里的用户行为，指的是用户与产品UI的交互行为，主要表现在Android App、IOS App与Web页面上。这些交互行为，有的会与后端服务通信，有的仅仅引起前端UI的变化，但是不管是哪种行为，其背后总是伴随着一组属性数据。对于与后端发生交互的行为，我们可以从后端服务日志、业务数据库中拿到相关数据；而对于那些仅仅发生在前端的行为，则需要依靠前端主动上报给后端才能知晓。用户行为数据采集系统，便是负责从前端采集所需的完整的用户行为信息，用于数据分析和其他业务。

03

没有 SPN 的 Kerberoasting

服务主体名称 (SPN) 是 Active Directory (AD) 数据库中的记录，显示哪些服务注册到哪些帐户：

04

Java虚拟机之 XX:+UseGCLogFileRotation 解析

通常，在生产环境中，我们需要借助 GC Log 来实时检测我们的微服务基于 Java 虚拟机层面活动状态，涉及年轻代、年老代以及全局的垃圾回收，只有基于上述方案，我们才能够快速的定位、分析微服务在某一时刻、时间段所呈现的活动轨迹及事件，以便高效解决业务问题。此篇文章来自笔者早期博客，依据实际的项目场景进行总结整理的。因技术群里有朋友在问此方面领域的问题，故再次将其呈现出来。

03

安卓-碎片的使用入门

碎片（Fragment）是一种可以嵌入在活动当中的UI片段，它能让程序更加合理和充分地利用大屏幕的空间，因而在平板上应用得非常广泛。虽然碎片对你来说应该是个全新的概念，但我相信你学习起来应该毫不费力，因为它和活动实在是太像了，同样都能包含布局，同样都有自己的生命周期。你甚至可以将碎片理解成一个迷你型的活动，虽然这个迷你型的活动有可能和普通的活动是一样大的。

02

Little Snitch for Mac 完美激活永久版，Mac上最优秀的网络防火墙软件

哪里下载Little Snitch for Mac 完美激活永久版资源啊，Little Snitch for Mac是一款防火墙软件，能够防止应用程序在你不知道的情况下自动访问网络，你可以定义不允许访问。它可以监控和阻止特定软件的网络连接，当你启动软件时，Little Snitch防火墙会通过弹出窗口提醒用户是否允许其网络连接，不会发生软件跳过你自动访问的情况。

04

如何使用ADSI接口和反射型DLL枚举活动目录

在这篇文章中，我们将告诉大家如何使用活动目录服务接口（ADSI）并结合C/C++来实现Cobalt Strike的活动目录枚举。现在很多环境下都会对PowerShell和.NET程序进行非常严格的监视，而本文所介绍的技术也许可以帮你们躲避这些机制的检测。

02

使用SysFlow和Falco进行云原生可观察性和安全分析

作者：Frederico Araujo 和 Teryl Taylor，IBM 研究院

01

（翻译）LearnVSXNow! #10 创建我们第一个工具集-重用代码

我们在第6和第7篇创建的Calculate小工具窗还有很多可以改进的地方，所以在这篇文章里，我们不会开发新的功能，而是重构我们的代码，封装出可以重用的类和方法。

04

greenplum常用的gp_toolkit监控语句

目录 gp_toolkit 说明 1、表膨胀相关查询 2、表倾斜的相关信息 3、锁查询相关的信息 4、日志查询相关的信息 5、资源队列相关查询信息 6、查看磁盘上(database,schema,table,indexs,view)等的占用大小的相关信息 7、用户使用的工作空间大小信息 8、查看用户创建的信息(数据库,schema,表,索引,函数,视图)等信息 9、系统中维护的ID信息 10、系统查用的查询信息 11、系统中常用查询的函数 gp_toolkit 说明 Greenplum数据库提供了一个名为g

06

DB2维护手册

7、不要随便执行 chown (chmod) –R （UNIX/Linux） 13

05

Scheduled-Task-Tampering

微软最近发表了一篇文章，记录了HAFNIUM威胁参与者如何利用计划任务存储在注册表中的缺陷来隐藏它们的存在，这清楚地表明所呈现的漏洞很可能不是影响计划任务组件的唯一缺陷，我们开始研究如何滥用计划任务的注册表结构来实现各种目标，例如:横向移动和持久性

01

横向移动与域控权限维持方法总汇

如果找到了某个用户的ntlm hash，就可以拿这个ntlm hash当作凭证进行远程登陆了其中若hash加密方式是 rc4 ，那么就是pass the hash 若加密方式是aes key,那么就是pass the key 注意NTLM和kerberos协议均存在PTH: NTLM自然不用多说 kerberos协议也是基于用户的client hash开始一步步认证的，自然也会受PTH影响

02

揭秘Linux日志分析利器 - 全面透析journalctl

journalctl是一个功能强大的命令行工具，用于查看和管理系统日志，可以深入了解系统的运行状况、故障信息和关键事件。它也是systemd日志记录器（systemd-journald）的一部分，systemd-journald是systemd守护进程的一个组件，负责收集、存储和检索系统日志，甚至可以将journalctl的日志上报给ELK。

【腾讯云监控】AIOps中的告警关联收敛方案

在实际运维过程中，为了避免异常的遗漏，业务运维人员经常针对不同的业务，设定大量不同的监控指标和告警规则。在这些告警信息中存在着很多相关联的告警规则，或强相关的业务指标等。换句话说，一个业务模块发生了故障，可能会引起多个模块触发告警。

06

DRBD 的日常管理

DRBD是一个用软件实现的、无共享的、服务器之间镜像块设备内容的存储复制解决方案。DRBD是由内核模块和相关脚本而构成，用以构建高可用性的集群。对于在高可用集群的环境里，尽管DRBD磁盘资源被作为一种集群服务由集群管理组件接管，但对于DRBD的常用命令的掌握还是非常有必要的。本文描述了一些常用的DRBD日常管理命令，供大家参考。有关DRBD的相关知识，可以参考： DRBD原理及特性概述快速安装及部署DRBD 一、DRBD用户空间管理工具 drbdadm：高层的 DRBD 程

02

SPN服务主体名称详解

SPN（ServicePrincipal Names，服务主体名称）是服务实例的唯一标识符，当域内存在大量的服务器，管理员为了方便管理会对服务器进行标识，那么管理员标识所使用的方法就是SPN。

01

SPN扫描

Kerberos是一种支持票证身份验证的安全协议。如果客户端计算机身份验证请求包含有效的用户凭据和服务主体名称 (SPN)，则 Kerberos 身份验证服务器将授予一个票证以响应该请求。然后，客户端计算机使用该票证来访问网络资源。在内部网络中，SPN扫描通过查询向域控制器执行服务发现。可以帮助我们识别正在运行重要服务的主机，如终端、交换机、微软SQL等，并隐藏他们。此外，SPN的识别也是kerberoasting攻击的第一步。

02

最新域环境MSSQL的枚举和认证技术

在渗透测试过程，如果我们获取了一个普通域用户权限，或者针对域环境执行假定入侵渗透测试，我们通常需要枚举域环境是否集成了MS SQL数据库，并测试是否存在漏洞或者误配置可以利用进行权限提升。

01

域内横向移动分析及防御

本篇继续阅读学习《内网安全攻防：渗透测试实战指南》，本章系统的介绍了域内横向移动的主要方法，复现并剖析了内网域方面最重要、最经典的漏洞，同时给出了相应的防范方法

01

Domain Escalation: Unconstrained Delegation

在Windows 2000之后微软引入了一个选项，用户可以通过Kerberos在一个系统上进行身份验证，并在另一个系统上工作，这种技术主要通过委派机制来实现，无约束委派通过TGT转发技术实现，而这也是我们将本文中讨论的内容

02

域渗透：使用蜜罐检测出Kerberoast攻击

我们知道，如果攻击者进入域(内网)环境中，攻击影响不敢想象，所以最重要的是快速检测它们。防病毒和EDR解决方案在检测和阻止攻击者方面已经走了很长一段路，但是牛批的黑客很可能通过各种奇技淫巧技术来规避这些控制措施。

02

内网渗透（四） | 域渗透之Kerberoast攻击

kerberoast攻击发生在kerberos协议的TGS_REP阶段，关于kerberos协议详情，传送门：内网渗透 | 域内认证之Kerberos协议详解

02

Active Directory 域服务特权提升漏洞 CVE-2022–26923

经过身份验证的用户可以操纵他们拥有或管理的计算机帐户的属性，并从 Active Directory 证书服务获取允许提升权限的证书。

04

PS模块配置篇03-项目参数文件OPSA（下）

声明：本文仅代表原作者观点，文|Elsa。仅用于SAP软件的应用与学习，不代表SAP公司。注：文中SAP相关字或图片，相应著作权归SAP所有。

02

SRv6—5G技术落地的大杀器

5G业务的发展对于网络连接提出了更高的要求，例如更强的SLA、确定性时延等。在5G的应用场景中，各种垂直行业的业务特征各具差异。对于广连接场景，如智能家居、环境监测、智能农业、智能抄表等业务，需要网络支持海量设备连接和大量的小报文频发业务；对于视频监控和在线医疗等业务，需要网络支持大带宽低延迟业务；对于车联网、智能电网和工业控制等业务，要求网络支持毫秒级时延和不低于6个9的可靠性。应用于各种行业的5G技术要具备更强的灵活性、可扩展性。

02

敞开的地狱之门：Kerberos协议的滥用

作者 Rabbit_Run 微软的活动目录默认使用Kerberos处理认证请求。在BlackHat 2014上神器Mimikatz的作者剖析了微软实现的Kerberos协议中存在的安全缺陷，并通过神器Mimikatz新添功能“Golden Ticket”展示了如何利用这些安全缺陷，让Kerberos把守的地狱之门为大家敞开。一、快速介绍 Kerberos 是Windows活动目录中使用的客户/服务器认证协议，为通信双方提供双向身份认证。相互认证或请求服务的实体被称为委托人（principal）。参与的中央

09

一次梦里的域环境实战攻击

说明：梦里项目，相关信息如ip，域名，账户等信息都是后期编的，可能会出现文不对题，不要纠结细节。

02

【微服务架构】微服务设计模式

这是微服务架构系列文章的第 3 篇高可用性、可扩展性、故障恢复能力和性能是微服务的特征。您可以使用微服务架构模式来构建微服务应用程序，从而降低微服务失败的风险。模式分为三层：应用模式应用程序模式解决了开发人员面临的问题，例如数据分解、数据维护、测试、用户界面和一些可观察性模式。让我们回顾一下这些应用程序模式的基础知识。分解模式选择如何将单体系统分解为服务按业务能力分解——服务是围绕业务能力组织的。按子域分解——服务是围绕域驱动设计的子域组织的。数据模式数据一致性——每个

02

Windows认证--Kerberos

Kerberos是一种由MIT(麻省理工学院)提出的一种网络身份验证协议，可通过密钥系统为客户端/服务端提供认证服务。它能够为网络中通信的双方提供严格的身份验证服务，确保通信双方身份的真实性和安全性。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全。

08

Android Fragment用法知识点的讲解

碎片，它的出现是为了更好展示UI的设计，让程序更加得到充分的展示。Fragment的出现，如微信的额主界面包含多个Fragment，使得微信功能更加简洁明了。

06

Salesforce Consumer Goods Cloud 浅谈篇三之行动计划(Action Plan)相关配置

https://wenku.baidu.com/view/404ce30d182e453610661ed9ad51f01dc28157cb.html

04

AAA原理与配置_路由交换

AAA是Authentication（认证），Authorization（授权），和Accounting（计费）的简称，提供了认证、授权、计费三种功能。AAA可以通过多种协议来实现。

02

软考高级架构师：信息安全保护等级

信息安全的保障体系是一套旨在保护信息安全和数据隐私的措施和标准，它通过不同层次和方式来实现对信息系统的保护。其中，保护级别可以分为以下几种类型：

00

MapReduce与批处理------《Designing Data-Intensive Applications》读书笔记14

批处理系统通常也叫脱机系统，需要大量的输入数据，运行一个作业来处理它，并产生一些输出数据。工作通常需要一段较长的时间（从几分钟到几天）。批处理作业通常是周期性地运行的（例如，一天一次）。批处理作业的主要性能度量通常是吞吐量。

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭