¿Cómo autentica un cliente el controlador de dominio?

Si hay una relación de confianza ya establecida, se utiliza Kerberos.

NTLM se utiliza cuando

1. autenticar en una máquina usando una dirección IP
2. si la máquina está en un bosque diferente que usa NTLM
3. la máquina de destino no está en el dominio
4. las máquinas no están en el dominio
5. si los firewalls bloquean el tráfico de kerberos

Microsoft tiene información sobre el uso de kerberos en enlace .

También puede encontrar más información en los siguientes enlaces:

• enlace
• enlace
• enlace
• enlace
• enlace

La autenticación está basada en Kerberos. En Active Directory, el controlador de dominio (DC) desempeña la función del KDC (Centro de distribución de claves). Sería posible que un atacante se haga pasar por el controlador de dominio dirigiendo la solicitud de autenticación Kerberos al DC incorrecto. Esto se podría hacer ingresando la dirección IP incorrecta para el DC en el DNS. Y el DNS en sí mismo puede ser "suplantado" al proporcionarle una dirección IP incorrecta en el archivo de hosts (C: \ Windows \ System32 \ drivers \ etc \ hosts). Para entender por qué las probabilidades de esto son bajas en la versión 5 de Kerberos, aquí hay información de fondo:

• Descripción general de Kerberos - fig. 4.2 de Stallings, W., "Network Security Essentials: Applications and Standards", tercera edición, 2007, Prentice Hall (la copia se puede encontrar a través de las diapositivas de PPT con la búsqueda de Google)
  • Demostración de Kerberos: enlace
  • Detalles sobre Kerberos en Active Directory enlace