危險 Kerberos 委派
critical
語系:
說明
Kerberos 通訊協定為 Active Directory 安全的核心,其允許選定伺服器重複使用使用者憑證。若攻擊者入侵其中一個伺服器,就能不當使用「非限制委派」或「(資源型) 受限制指派」,藉此竊取這些憑證並用來在其他資源上進行驗證。
解決方案
唯一使用非限制委派的帳戶應是網域控制器帳戶。還應保護管理員不受任何危險委派類型的影響。
另請參閱
Kerberos 非限制委派 (或「入侵單一伺服器如何使攻擊者能夠入侵網域」)
Get rid of accounts that use Kerberos Unconstrained Delegation
Abusing Resource-Based Constrained Delegation to Attack Active Directory
指標詳細資料
名稱: 危險 Kerberos 委派
代碼名稱: C-UNCONST-DELEG
嚴重性: Critical
- 手法: TA0003 - 長期潛伏
- 手法: TA0004 - 特權提升
攻擊者已知工具
HarmJ0y, Elad Shamir: Rubeus