Rubeus

<p>Überprüft, ob nicht autorisierte Kerberos-Delegierungen vorhanden sind, und stellt sicher, dass privilegierte Benutzer vor einer solchen Delegierung geschützt sind.</p>


<p>Das Kerberos-Protokoll, das für die Sicherheit von Active Directory von zentraler Bedeutung ist, ermöglicht bestimmten Servern die Wiederverwendung der Anmeldeinformationen von Benutzern. Wenn ein Angreifer solch einen Server kompromittiert, kann er diese Anmeldeinformationen und sie verwenden, um sich bei anderen Ressourcen zu authentifizieren.</p>


Gefährliche Kerberos-Delegierung

Privilegierte Konten müssen geschützt werden. Andernfalls kann ein Angreifer möglicherweise die zugehörigen Anmeldeinformationen stehlen.

Nicht vor Delegierung geschützt

Ein Angreifer könnte mithilfe dieser Fehlkonfiguration die Identität eines anderen Benutzers annehmen.

Uneingeschränkte Delegierung

Ein Angreifer könnte Kerberos-Tickets stehlen, um sich für andere Ressourcen zu authentifizieren.

Ein Angreifer könnte Kerberos-Administratortickets stehlen, um sich für privilegierte Ressourcen zu authentifizieren.

Kerberos-Delegierung für sensibles Objekt

Das Objekt enthält einen gefährlichen ACE, der einen Benutzer zum Schreiben in das msDS-AllowedToActOnBehalfOfOtherIdentity-Attribut oder in den Eigenschaftensatz Account Restrictions autorisiert. Ein Angreifer könnte mithilfe dieser Fehlkonfiguration die Identität eines Benutzers für diesen Dienst annehmen.

RBCD-Steuerung zulässig

Es wurde ein Sicherheitsprinzipal im msDS-AllowedToActOnBehalfOfOtherIdentity-Attribut (rollenbasierte eingeschränkte Delegierung, RBCD) eines privilegierten Dienstkontos festgelegt. Über diese Backdoor können Angreifer die Identiät eines beliebigen Kontos annehmen und privilegierten Zugriff auf die im Kontext des Dienstkontos ausgeführten Dienste erhalten.

RBCD-Backdoor

Im Microsoft Entra-Computerkonto mit nahtlosem einmaligen Anmelden (SSO) ist eine Art von Kerberos-Delegierung konfiguriert, was zu Problemen führen kann und als schlechte Praxis gilt.

Erkennungen

Gefährliche Kerberos-Delegierung

critical

Beschreibung

Lösung

Siehe auch

Indikatordetails

Bekannte Tools von Angreifern