AD Starter Scan - 弱式 Kerberos 加密

medium Nessus Plugin ID 150481

語系：

概要

在使用者帳戶上設定了一個弱式 Kerberos 演算法。

說明

Active Directory 使用 Kerberos 通訊協定進行驗證。由於這是舊通訊協定，自建立以來已採取多種安全性增強措施。為確保適當的安全性狀態，必須停用某些舊版選項。

Kerberos 5 網路驗證通訊協定 [RFC1510] 的原始規範僅支援 DES 加密。
密碼編譯社群認為 DES 不安全已有很多年，主要是因為其金鑰太小。因此，DES 現在是已過時的不安全編譯密碼。儘管 Active Directory 中的 Kerberos 可以使用 DES，也應將其停用。

根據預設，此檢查會略過已停用的帳戶。若要同時檢查已停用的帳戶，請啟用徹底測試。

注意：AD Starter Scan 及相關聯的外掛程式預定與小型 AD 部署搭配使用，以進行初步分析。對於多達 5,000 個使用者、群組或機器的 AD 部署，預期會有準確的初步分析，而且會針對 Nessus、Security Center 和 Vulnerability Management 的大型 AD 部署傳回不完整的結果。如需詳細瞭解 Active Directory Starter Scan 外掛程式發現的問題，請參閱此部落格文章- https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations