AD Starter Scan-Kerberos事前認証検証

medium Nessus プラグイン ID 150482

Language:

概要

Kerberos事前認証がユーザーアカウントで無効です。

説明

Active Directoryは、認証にKerberosプロトコルを使用します。これは古いプロトコルであるため、作成以来多くのセキュリティ強化策が講じられており、適切なセキュリティ状態を確保するために一部のレガシーオプションを無効にする必要があります。

攻撃者は、AS-REPのロースト攻撃を利用して、ユーザーのパスワードを推測することができます。AS-REP ロースト攻撃の最初の部分は、Kerberos 事前認証が設定されていないユーザーを特定することです (DONT_REQ_PREAUTH)。これは、userAccountControl属性の一部です。

Kerberos 事前認証がない場合、攻撃者がユーザーに代わって認証リクエスト (AS-REQ) を KDC に送信する可能性があります。KDC はその後、暗号化された TGT (AS-REP) で返信します。AS-REP の一部が、自分のパスワード由来する元のユーザーのキーで暗号化されます。その後、攻撃者がオフラインでのブルートフォース攻撃を利用して、パスワードを推測する可能性があります。この攻撃は、オンラインのブルートフォース攻撃よりもはるかに高速です (例: さまざまなパスワードで多数の認証リクエストを行う)。

事前認証により、攻撃者は KDC が暗号化されたTGTを送り返す前に、(タイムスタンプを暗号化しなければならないため) パスワードを所持していることを強制されます。

デフォルトでは、このチェックは無効なアカウントをスキップします。無効にしたアカウントもチェックするには、完全なテストを有効にしてください。

注意: AD Starter Scan および関連するプラグインは、予備的な分析を目的とした小規模の AD デプロイメントでの使用を意図しています。ユーザー、グループ、マシンが最大 5000 の AD デプロイメントでは正確な予備分析が期待できますが、Nessus、Security Center、Vulnerability Management を使用した大規模な AD デプロイメントでは不完全な結果が返されます。Active Directory Starter Scan プラグインによって発見された問題の詳細については、このブログの投稿を参照してください- https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations