检测
分析学
AD启动扫描-不受约束委托
高位Nessus插件ID150485
语言 :
简表
危险Kerberos传教集描述性
Kerberos协议核心主动目录安全允许某些服务器获取用户证书并使用证书代表用户认证用户验证委托服务器时,域控制器向服务器发送用户证书副本证书后可用代表用户认证
攻击者如能折中服务器,可窃取并重用所有用户认证此服务器的证书管理员连接失密机时 攻击者能提升权限 并成为管理员结果,托管委托属性只允许域控制器等可信服务器使用机制被称为不受约束委托
注意: 本插件是主动目录启动器扫描模板的一部分, 原意用于对AD主机进行初步分析 。关于主动目录启动插件发现问题的更多信息,请参考博客文章-//www.yyueer.com/blog/new-in-nessus-find-and-fix-theth-10-active-directory-mis配置
求解
唯一使用不受约束授权的帐户应该是域控制器帐户管理员应受保护不受危险的委托类型:加入保护用户集团
设置用户账号上'账号敏感不可委托'标志
并见
https://adsecurity.org/?p=1667
插件细节
严重性 :高位
身份证 :150485
文件名 :adsi_kerberos_deleg.nbin
版本化 :1.74
类型 :本地化
代理 :窗口内
家庭问题 :Windows系统
发布 :7/29/2021
更新 :8/28/2023
支持传感器 :内苏斯代理
风险信息
CVSS分数推理 :分数基础深入分析可耐性
CVSS v2
风险因子 :高位
基础评分 :7.4
向量 :CVSS2#AV:A/AC:M/Au:S/C:C/I:C/A:C
CVSS评分源 :手册
CVSSv3
风险因子 :高位
基础评分 :7.1
向量 :CVSS:3.0/AV:A/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞信息
CPE系统 :cpe:/a:microsoft:active_directory
需要kb项 :ldap_enum_computer/available