AD Starter Scan - Kerberos 预认证验证

medium Nessus 插件 ID 150482

语言：

简介

已禁用用户帐户的 Kerberos 预认证。

描述

Active Directory 使用 Kerberos 协议进行验证。由于它是旧协议，自创建以来已采取大量安全增强措施，同时为确保正确的安全状态，必须禁用某些旧选项。

攻击者可利用 AS-REP Roasting 攻击来猜测用户的密码。AS-REP Roasting 攻击的第一部分是识别未设置 Kerberos 预认证 (DONT_REQ_PREAUTH) 的用户。这是 userAccountControl 属性的一部分。

如果没有 Kerberos 预认证，攻击者就可以代表用户向 KDC 发送认证请求 (AS-REQ)。KDC 然后会回复加密的 TGT (AS-REP)。部分 AS-REP 已使用源自其密码的原始用户密钥加密。然后，攻击者可使用离线暴力破解来猜测密码。此攻击比在线暴力攻击要快得多（例如通过使用不同密码提出大量认证请求）。

在 KDC 发回加密的 TGT 之前，预认证强制要求攻击者拥有密码（通过必须加密时间戳）。

默认情况下，此检查会跳过已禁用的帐户。若要同时检查已禁用的帐户，请启用全面测试。

注意：AD Starter Scan 和相关插件旨在与较小的 AD 部署一起使用，以进行初步分析。对于最多 5,000 个用户、组或计算机的 AD 部署，预计可以获得准确的初步分析，而对于包含 Nessus、安全中心和漏洞管理的大型 AD 部署，将返回不完整的结果。如需进一步了解 Active Directory Starter Scan 插件发现的问题，请参阅此博客文章 - https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations