Erkennungen

Kerberos-Konfiguration für Benutzerkonto

medium

Sprache:

Beschreibung

Active Directory nutzt Kerberos zur Authentifizierung. Dabei handelt es sich um ein älteres Protokoll, auf das seit seiner Entwicklung verschiedene Maßnahmen zur Verbesserung der Sicherheit angewendet wurden. Aus diesem Grund müssen einige ältere Optionen (z. B. die veraltete Verschlüsselungsmethode „DES“ oder die Option „Keine Kerberos-Vorauthentifizierung erforderlich“) deaktiviert werden, um eine angemessene Sicherheit zu gewährleisten und z. B. „AS-REP Roasting“-Angriffe zu vermeiden.

Lösung

Um ein höchstmögliches Maß an Sicherheit zu gewährleisten, konfigurieren Sie das Authentifizierungsprotokoll von Active Directory so, dass Parameter und Protokolle nach den neuesten Sicherheitsstandards verwendet werden.

Siehe auch

What Is Kerberos Authentication?

Kerberos RFC 4120

Authentication secrets part II - Kerberos strikes-back

Kerberos Protocol Tutorial

Indikatordetails

Name: Kerberos-Konfiguration für Benutzerkonto

Codename: C-KERBEROS-CONFIG-ACCOUNT

Schweregrad: Medium

Typ: Active Directory Indicator of Exposure

Family: Authentifizierung und Anmeldeinformationen

MITRE ATT&CK-Informationen:

Bekannte Tools von Angreifern

HarmJ0y, Elad Shamir: Rubeus