AD Starter Scan - 无约束委派

high Nessus 插件 ID 150485

简介

危险的 Kerberos 委派集。

描述

作为 Active Directory 安全核心层的协议,Kerberos 允许某些服务器获取用户凭据,并使用这些凭据代表用户进行认证。

当用户在受信任委派的服务器上进行认证时,域控制器会将用户凭据的副本发送到服务器。这些凭据随后可用于代表用户进行认证。

如果攻击者能够入侵此类服务器,则能够窃取并重新使用在此特定服务器上认证的所有用户的凭据。如果管理员连接到受影响的计算机,攻击者将能够提升自身权限,也成为管理员。因此,应仅在域控制器等受信任的服务器上允许“受信任的委派”属性。此机制称为“无约束委派”。

注意:AD Starter Scan 和相关插件旨在与较小的 AD 部署一起使用,以进行初步分析。对于最多 5,000 个用户、组或计算机的 AD 部署,预计可以获得准确的初步分析,而对于包含 Nessus、安全中心和漏洞管理的大型 AD 部署,将返回不完整的结果。如需进一步了解 Active Directory Starter Scan 插件发现的问题,请参阅此博客文章 - https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations

解决方案

仅域控制器帐户可以使用无限制委派。管理员还应防范所有危险的委派类型:
- 通过成为“受保护用户”群组的成员,或
- 通过在用户帐户中设置“帐户敏感且无法委派”标记

另见

http://www.nessus.org/u?d5c4c81f

https://adsecurity.org/?p=1667

http://www.nessus.org/u?c3b56c92

插件详情

严重性: High

ID: 150485

文件名: adsi_kerberos_deleg.nbin

版本: 1.90

类型: local

代理: windows

系列: Windows

发布时间: 2021/7/29

最近更新时间: 2024/3/27

支持的传感器: Nessus Agent, Nessus

风险信息

CVSS 分数理由: Score based on an in-depth analysis by tenable.

CVSS v2

风险因素: High

基本分数: 7.4

矢量: CVSS2#AV:A/AC:M/Au:S/C:C/I:C/A:C

CVSS 分数来源: manual

CVSS v3

风险因素: High

基本分数: 7.1

矢量: CVSS:3.0/AV:A/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

漏洞信息

CPE: cpe:/a:microsoft:active_directory

必需的 KB 项: ldap_enum_computer/available