偵測

使用者帳戶上的 Kerberos 設定

medium

語系:

說明

Active Directory 仰賴 Kerberos 來執行驗證。其為較舊的通訊協定,已接收各種安全強化措施。因此,需要停用一些舊版選項 (例如過時的「DES」加密或「Kerberos 無需預先驗證」),以確保適當安全性,例如避免「AS-REP Roasting」攻擊。

解決方案

為了確保最高安全層級,請設定 Active Directory 的驗證通訊協定,以使用最新的安全參數和通訊協定。

另請參閱

What Is Kerberos Authentication?

Kerberos RFC 4120

Authentication secrets part II - Kerberos strikes-back

Kerberos Protocol Tutorial

指標詳細資料

名稱: 使用者帳戶上的 Kerberos 設定

代碼名稱: C-KERBEROS-CONFIG-ACCOUNT

嚴重性: Medium

MITRE 攻擊資訊:

攻擊者已知工具

HarmJ0y, Elad Shamir: Rubeus