AD Starter Scan - Kerberos Krbtgt
medium Nessus 插件 ID 150484
语言:
简介
KDC 上次密码变更时间过早。描述
每个 Active Directory 域都包含一个名为 KRBTGT 的特殊帐户。此帐户具有 Kerberos 主密钥,用于保护域中的所有其他密码。因此,必须不遗余力地保护该主密钥,并定期更新。此插件会检查主密钥是否设置为至少每两年更新一次。注意:AD Starter Scan 和相关插件旨在与较小的 AD 部署一起使用,以进行初步分析。对于最多 5,000 个用户、组或计算机的 AD 部署,预计可以获得准确的初步分析,而对于包含 Nessus、安全中心和漏洞管理的大型 AD 部署,将返回不完整的结果。如需进一步了解 Active Directory Starter Scan 插件发现的问题,请参阅此博客文章 - https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations
解决方案
必须遵循精确的操作顺序来更改 KRBTGT 密码。如果操作错误,某些域控制器可能会失去对其他域控制器进行认证的能力。Microsoft 提供官方程序和帮助程序脚本。另见
http://www.nessus.org/u?79a46bf7
http://www.nessus.org/u?2c17f1e1
插件详情
严重性: Medium
ID: 150484
文件名: adsi_kerberos_krbtgt.nbin
版本: 1.91
类型: local
代理: windows
系列: Windows
发布时间: 2021/7/29
最近更新时间: 2024/4/15
支持的传感器: Nessus Agent, Nessus
风险信息
CVSS 分数理由: Score based on an in-depth analysis by tenable.
CVSS v2
风险因素: Medium
基本分数: 6.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS 分数来源: manual
CVSS v3
风险因素: Medium
基本分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
漏洞信息
CPE: cpe:/a:microsoft:active_directory
必需的 KB 项: ldap_enum_person/available