AD Starter Scan - Kerberos 预认证验证

medium Nessus 插件 ID 150482

简介

已禁用用户帐户的 Kerberos 预认证。

描述

Active Directory 使用 Kerberos 协议进行验证。由于它是旧协议,自创建以来已采取大量安全增强措施,同时为确保正确的安全状态,必须禁用某些旧选项。

攻击者可利用 AS-REP Roasting 攻击来猜测用户的密码。AS-REP Roasting 攻击的第一部分是识别未设置 Kerberos 预认证 (DONT_REQ_PREAUTH) 的用户。这是 userAccountControl 属性的一部分。

如果没有 Kerberos 预认证,攻击者就可以代表用户向 KDC 发送认证请求 (AS-REQ)。KDC 然后会回复加密的 TGT (AS-REP)。部分 AS-REP 已使用源自其密码的原始用户密钥加密。然后,攻击者可使用离线暴力破解来猜测密码。此攻击比在线暴力攻击要快得多(例如通过使用不同密码提出大量认证请求)。

在 KDC 发回加密的 TGT 之前,预认证强制要求攻击者拥有密码(通过必须加密时间戳)。

默认情况下,此检查会跳过已禁用的帐户。若要同时检查已禁用的帐户,请启用全面测试。

注意:AD Starter Scan 和相关插件旨在与较小的 AD 部署一起使用,以进行初步分析。对于最多 5,000 个用户、组或计算机的 AD 部署,预计可以获得准确的初步分析,而对于包含 Nessus、安全中心和漏洞管理的大型 AD 部署,将返回不完整的结果。如需进一步了解 Active Directory Starter Scan 插件发现的问题,请参阅此博客文章 - https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations

解决方案

应将帐户配置为使用 Kerberos 预认证。
现在,这是默认设置,但某些旧帐户可能不会使用它。

另见

http://www.nessus.org/u?14c411d0

https://tools.ietf.org/html/rfc4120

https://www.kerberos.org/software/tutorial.html

https://attack.mitre.org/techniques/T1558/004/

http://www.nessus.org/u?d5c4c81f

插件详情

严重性: Medium

ID: 150482

文件名: adsi_kerberos_pre_auth.nbin

版本: 1.108

类型: local

代理: windows

系列: Windows

发布时间: 2021/7/29

最近更新时间: 2024/10/10

配置: 启用全面检查

支持的传感器: Nessus Agent, Nessus

风险信息

CVSS 分数理由: Score based on an in-depth analysis by tenable.

CVSS v2

风险因素: Medium

基本分数: 4.1

矢量: CVSS2#AV:L/AC:M/Au:S/C:P/I:P/A:P

CVSS 分数来源: manual

CVSS v3

风险因素: Medium

基本分数: 4.5

矢量: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L

漏洞信息

CPE: cpe:/a:microsoft:active_directory

必需的 KB 项: ldap_enum_person/available