检测

用户帐户的 Kerberos 配置

medium

语言:

描述

Active Directory 依赖 Kerberos 进行身份验证。这是一种较旧的协议,后来实施了各种安全加固措施。综上所述,有必要禁用一些旧选项(例如,过时的“DES”加密或“不需要完成 Kerberos 预身份验证”),以确保适当的安全性,从而避免“AS-REP Roasting”攻击。

解决方案

如要确保最高级别的安全性,请配置 Active Directory 的身份验证协议,以使用最新的安全参数和协议。

另见

What Is Kerberos Authentication?

Kerberos RFC 4120

Authentication secrets part II - Kerberos strikes-back

Kerberos Protocol Tutorial

指标详细信息

名称: 用户帐户的 Kerberos 配置

代码名称: C-KERBEROS-CONFIG-ACCOUNT

严重性: Medium

类型: Active Directory Indicator of Exposure

Family: 身份验证和凭据

MITRE ATT&CK 信息:

攻击者已知工具

HarmJ0y, Elad Shamir: Rubeus