保护您的网络免受Kerberoasting攻击

阅读时间:3分钟

分享:

在脸书上分享
分享到Twitter
分享LinkedIn.

Kerberoasting是恶意演员使用的常见攻击,一旦获得组织的内部网络,域帐户会受到损害。Kerberoasting允许攻击者通过获取域上服务帐户的密码来提升其特权。在这里,我们的目标是在Kerberoasting以及如何保护它的一些背景。

Kerberoasting如何工作

Kerberos是一种在Microsoft网络上使用的网络认证协议,其使用验证资源的身份的票证。Kerberoasting Targets Kerberos在Microsoft Active Directory环境中及其内置设计功能。Kerberos利用两种类型的门票;授予门票和服务门票。服务票据是从票务授权服务获得的,并提供对应用程序服务的访问。授权机票用于在Active Directory中验证用户或服务帐户的身份。经过身份验证的域用户可以在Active Directory域中申请服务票证。

发生这种情况时,域控制器不会检查是否请求服务票证的用户是否具有所讨论的服务的访问或权限。这是通过设计,因为每个服务负责在使用服务票证以验证资源的身份后执行权限。但是,攻击者可以请求服务票证,并可能包含它包含的密码,这将为攻击者提供明文的帐户凭据。这可能允许攻击者在域中获得额外的权利或援助攻击者横向移动。

防止Kerberoasting攻击

保护您的组织免受Kerberoasting攻击的直截了当。虽然没有办法停止此票证行为,但由于它是Kerberos架构的一部分,但以下控件可以最大限度地减少成功攻击的可能性:

  • 设置一个强密码策略,需要至少25个字符的服务帐户的密码。如果要捕获票证,则严重限制攻击者可能会破解密码的快速。
  • 在设置计划上旋转服务帐户密码。这限制了攻击者必须尝试和破解票证的时间。
  • 在域控制器上启用审核日志记录以对成功的Kerberos票务授予服务票证请求,特别是那些正在使用弱RC4或DES加密所请求的,以及配置安全信息和事件监视(SIEM)或日志管理工具以提醒这些事件。

减少分层安全控制的风险

风险Kerberoasting姿势取决于组织信息安全计划和IT策略的成熟度。要执行Kerberoasting攻击,攻击者已需要获得对运行Microsoft Active Directory的内部网络并损害至少一个域帐户的内部网络。组织可以帮助防止这种类型的立足点具有强大的周长和端点安全控制,例如在远程访问的多因素身份验证,工作站上的强大反恶意软件软件和防止恶意软件命令和控制通道的网络过滤器。

以类似的方式,声音访问控制实践包括应用最小特权的原理到服务帐户,可以帮助减少通过Kerberoasting攻击损害的服务帐户可以完成的损坏。

如果您对Kerberoasting或如何保护您的环境免于Kerberoasting攻击,请注意联系我们的团队我们很乐意提供帮助。

本出版物仅包含一般信息,依据本出版物,呈现会计,业务,财务,投资,法律,税务或任何其他专业咨询或服务,并不是。本出版物不是替代这些专业建议或服务,也不应该将其作为可能影响您或您业务的任何决定,行动或遗漏的基础。在做出任何决定之前,应采取任何行动或省略可能影响您或您业务的行动,您应该咨询合格的专业顾问。您承认,Sikich不得对您或任何依赖本出版物持续的任何人负责。

注册洞察188bet188asia

加入14,000多名商业管理人员和决策者

接下来的活动

最新见解188bet188asia

关于作者