AD Starter Scan - Kerberos Krbtgt

medium Nessus プラグイン ID 150484

概要

KDC の最後のパスワード変更が古すぎます。

説明

すべてのActive Directoryドメインには、KRBTGTと呼ばれる特別なアカウントが含まれています。このアカウントはKerberosマスターキーを保持し、ドメインの他のすべての機密を保護します。したがって、何としても保護し、定期的に更新する必要があります。このプラグインは、マスターキーが少なくとも2年に1回更新されるように設定されているかどうかをチェックします。

注意: AD Starter Scan および関連するプラグインは、予備的な分析を目的とした小規模の AD デプロイメントでの使用を意図しています。ユーザー、グループ、マシンが最大 5000 の AD デプロイメントでは正確な予備分析が期待できますが、Nessus、Security Center、Vulnerability Management を使用した大規模な AD デプロイメントでは不完全な結果が返されます。Active Directory Starter Scan プラグインによって発見された問題の詳細については、このブログの投稿を参照してください- https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations

ソリューション

KRBTGT パスワードは、一連の操作を正確に行って変更する必要があります。これが適切に行われないと、一部のドメインコントローラーが他のドメインコントローラーに対する認証機能を失う可能性があります。Microsoft は、公式のプロシージャとヘルパースクリプトを提供しています。

参考資料

http://www.nessus.org/u?79a46bf7

http://www.nessus.org/u?2c17f1e1

https://github.com/microsoft/New-KrbtgtKeys.ps1

http://www.nessus.org/u?d5c4c81f

プラグインの詳細

深刻度: Medium

ID: 150484

ファイル名: adsi_kerberos_krbtgt.nbin

バージョン: 1.95

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2021/7/29

更新日: 2024/5/20

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

CVSS スコアの根本的理由: Score based on an in-depth analysis by tenable.

CVSS v2

リスクファクター: Medium

基本値: 6.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS スコアのソース: manual

CVSS v3

リスクファクター: Medium

基本値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

脆弱性情報

CPE: cpe:/a:microsoft:active_directory

必要な KB アイテム: ldap_enum_person/available