AD Starter Scan - 無限制的委派

high Nessus Plugin ID 150485

語系：

概要

危險的 Kerberos 委派設定。

說明

作為 Active Directory 安全性核心的通訊協定，Kerberos 允許特定伺服器取得使用者的憑證，並使用這些憑證來代表使用者進行驗證。

當使用者在受信任的委派伺服器上驗證時，網域控制站會將使用者的憑證複本傳送至伺服器。隨後，這些憑證可用來代表使用者進行驗證。

如果攻擊者能夠入侵這類伺服器，他們就能竊取並重複使用在此特定伺服器上驗證的所有使用者的憑證。如果系統管理員連線至遭入侵的計算機，攻擊者就可提升權限並成為系統管理員。因此，只應在受信任的伺服器 (例如網域控制站) 上允許受信任的委派內容。此機制稱為「無限制委派」。

注意：AD Starter Scan 及相關聯的外掛程式預定與小型 AD 部署搭配使用，以進行初步分析。對於多達 5,000 個使用者、群組或機器的 AD 部署，預期會有準確的初步分析，而且會針對 Nessus、Security Center 和 Vulnerability Management 的大型 AD 部署傳回不完整的結果。如需詳細瞭解 Active Directory Starter Scan 外掛程式發現的問題，請參閱此部落格文章- https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations