検出

AD Starter Scan-弱いKerberos暗号化

medium Nessus プラグイン ID 150481

Language:

概要

脆弱なKerberosアルゴリズムがユーザーアカウントで構成されています。

説明

Active Directoryは、認証にKerberosプロトコルを使用します。これは古いプロトコルであるため、作成以来多くのセキュリティ強化策が講じられており、適切なセキュリティ状態を確保するために一部のレガシーオプションを無効にする必要があります。

Kerberos 5ネットワーク認証プロトコルの元の仕様[RFC1510]は、暗号化に対してDESのみをサポートします。
長年にわたり、暗号コミュニティはDESを安全でないと考えていました。その主な理由は、そのキーサイズが小さいということです。その結果、DESは非推奨の安全でない暗号化方式になりました。Active DirectoryのKerberosで使用できますが、無効にする必要があります。

デフォルトでは、このチェックは無効なアカウントをスキップします。無効にしたアカウントもチェックするには、完全なテストを有効にしてください。

注意: AD Starter Scan および関連するプラグインは、予備的な分析を目的とした小規模の AD デプロイメントでの使用を意図しています。ユーザー、グループ、マシンが最大 5000 の AD デプロイメントでは正確な予備分析が期待できますが、Nessus、Security Center、Vulnerability Management を使用した大規模な AD デプロイメントでは不完全な結果が返されます。Active Directory Starter Scan プラグインによって発見された問題の詳細については、このブログの投稿を参照してください- https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations

ソリューション

Kerberosプロトコルは、DESアルゴリズムを使用するように構成するべきではありません。現在、これはデフォルトで適切に構成され、正しく無効化されていますが、一部のレガシーアカウントにはまだこの構成が設定されている場合があります。

参考資料

http://www.nessus.org/u?14c411d0

https://tools.ietf.org/html/rfc4120

https://www.kerberos.org/software/tutorial.html

http://www.nessus.org/u?d5c4c81f

プラグインの詳細

深刻度: Medium

ID: 150481

ファイル名: adsi_kerberos_enc.nbin

バージョン: 1.95

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2021/7/29

更新日: 2024/5/6

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

CVSS スコアの根本的理由: Score based on an in-depth analysis by tenable.

CVSS v2

リスクファクター: Medium

基本値: 4.1

ベクトル: CVSS2#AV:L/AC:M/Au:S/C:P/I:P/A:P

CVSS スコアのソース: manual

CVSS v3

リスクファクター: Medium

基本値: 4.5

ベクトル: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L

脆弱性情報

CPE: cpe:/a:microsoft:active_directory

必要な KB アイテム: ldap_enum_person/available