AD Starter Scan - 弱 Kerberos 加密

medium Nessus 插件 ID 150481

简介

在用户帐户上配置了弱 Kerberos 算法。

描述

Active Directory 使用 Kerberos 协议进行验证。由于它是旧协议,自创建以来已采取大量安全增强措施,同时为确保正确的安全状态,必须禁用某些旧选项。

Kerberos 5 网络认证协议 [RFC1510] 的原始规范仅支持使用 DES 加密。
多年以来,加密字符社区一直认为 DES 不安全,这主要是因为 DES 的密钥大小较小。因此,DES 现在是已弃用的不安全加密密码。即使 Active Directory 中的 Kerberos 可以使用它,也应将其禁用。

默认情况下,此检查会跳过已禁用的帐户。若要同时检查已禁用的帐户,请启用全面测试。

注意:AD Starter Scan 和相关插件旨在与较小的 AD 部署一起使用,以进行初步分析。对于最多 5,000 个用户、组或计算机的 AD 部署,预计可以获得准确的初步分析,而对于包含 Nessus、安全中心和漏洞管理的大型 AD 部署,将返回不完整的结果。如需进一步了解 Active Directory Starter Scan 插件发现的问题,请参阅此博客文章 - https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations

解决方案

不应将 Kerberos 协议配置为使用 DES 算法。如今,默认已正确配置此协议并正确禁用,但是某些旧帐户可能仍然有此配置。

另见

http://www.nessus.org/u?14c411d0

https://tools.ietf.org/html/rfc4120

https://www.kerberos.org/software/tutorial.html

http://www.nessus.org/u?d5c4c81f

插件详情

严重性: Medium

ID: 150481

文件名: adsi_kerberos_enc.nbin

版本: 1.108

类型: local

代理: windows

系列: Windows

发布时间: 2021/7/29

最近更新时间: 2024/10/10

配置: 启用全面检查

支持的传感器: Nessus Agent, Nessus

风险信息

CVSS 分数理由: Score based on an in-depth analysis by tenable.

CVSS v2

风险因素: Medium

基本分数: 4.1

矢量: CVSS2#AV:L/AC:M/Au:S/C:P/I:P/A:P

CVSS 分数来源: manual

CVSS v3

风险因素: Medium

基本分数: 4.5

矢量: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L

漏洞信息

CPE: cpe:/a:microsoft:active_directory

必需的 KB 项: ldap_enum_person/available