AD Starter Scan-制約のない委任

high Nessus プラグイン ID 150485

Language:

概要

危険なKerberos委任の設定。

説明

Active Directoryセキュリティの中核を成すプロトコルであるKerberosにより、特定のサーバーが、ユーザーの認証情報を取得し、それを利用してユーザーの代わりに認証を行う可能性があります。

委任に対して信頼されているサーバーでユーザーが認証されると、ドメインコントローラーによってユーザーの資格情報のコピーがサーバーに送信されます。これらの認証情報は、ユーザーの代わりに認証に使用され得ます。

攻撃者がこのようなサーバーに不正アクセスできる場合、この特定のサーバーで認証するすべてのユーザーの認証情報を盗み、再利用できます。管理者が侵害されたマシンに接続すると、攻撃者が権限を昇格し、管理者になる可能性があります。結果として、委任に対して信頼されているプロパティは、ドメインコントローラーなどの信頼できるサーバーでのみ許可する必要があります。このメカニズムは、制約のない委任と呼ばれます。

注意: AD Starter Scan および関連するプラグインは、予備的な分析を目的とした小規模の AD デプロイメントでの使用を意図しています。ユーザー、グループ、マシンが最大 5000 の AD デプロイメントでは正確な予備分析が期待できますが、Nessus、Security Center、Vulnerability Management を使用した大規模な AD デプロイメントでは不完全な結果が返されます。Active Directory Starter Scan プラグインによって発見された問題の詳細については、このブログの投稿を参照してください- https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations

ソリューション

制約のない委任を使用するアカウントのみをドメインコントローラーアカウントにする必要があります。また、管理者はあらゆる危険な委任タイプに対しても保護される必要があります。
-「保護されたユーザー」グループのメンバーであるか、
-ユーザーアカウントに「アカウントは機密であり委任できません」のフラグを設定する