AD Starter Scan - Kerberos 預先驗證校驗

medium Nessus Plugin ID 150482

語系：

概要

一個使用者帳戶已停用 Kerberos 預先驗證。

說明

Active Directory 使用 Kerberos 通訊協定進行驗證。由於這是舊通訊協定，自建立以來已採取多種安全性增強措施。為確保適當的安全性狀態，必須停用某些舊版選項。

攻擊者可利用 AS-REP Roasting 攻擊來猜測使用者的密碼。AS-REP Roasting 攻擊的第一個部分是識別未設定 Kerberos 預先驗證的使用者 (DONT_REQ_PREAUTH)。這是 userAccountControl 屬性的一部分。

若沒有 Kerberos 預先驗證，攻擊者就可代表使用者將驗證要求 (AS-REQ) 傳送至 KDC。KDC 接著會以加密的 TGT (AS-REP) 回覆。部分 AS-REP 會使用衍生自其密碼的原始使用者金鑰加密。然後，攻擊者可使用離線暴力密碼破解來猜測密碼。此攻擊比線上暴力破解快很多 (例如，使用不同的密碼提出多個驗證要求)。

在 KDC 傳送回加密的 TGT 之前，預先驗證會強制攻擊者擁有密碼 (透過必須加密時間戳記)。

根據預設，此檢查會略過已停用的帳戶。若要同時檢查已停用的帳戶，請啟用徹底測試。

注意：AD Starter Scan 及相關聯的外掛程式預定與小型 AD 部署搭配使用，以進行初步分析。對於多達 5,000 個使用者、群組或機器的 AD 部署，預期會有準確的初步分析，而且會針對 Nessus、Security Center 和 Vulnerability Management 的大型 AD 部署傳回不完整的結果。如需詳細瞭解 Active Directory Starter Scan 外掛程式發現的問題，請參閱此部落格文章- https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations