« Kerberos 缓存凭据转储 异常进程的 Kerberos 通信 »
Elastic 文档 Elastic 安全解决方案 [8.16] 检测和告警 预构建规则参考

用户 Kerberos 预身份验证已禁用

编辑

用户 Kerberos 预身份验证已禁用

编辑

识别帐户 Kerberos 预身份验证选项的修改。拥有帐户 GenericWrite/GenericAll 权限的攻击者可以恶意修改这些设置,以执行离线密码破解攻击,例如 AS-REP 烘焙。

规则类型:查询

规则索引:

  • winlogbeat-*
  • logs-system.*
  • logs-windows.*

严重性:中等

风险评分: 47

:5 分钟运行一次

搜索索引自:now-9m (日期数学格式,另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 策略:凭据访问
  • 策略:防御规避
  • 策略:权限提升
  • 资源:调查指南
  • 用例:活动目录监控
  • 数据源:活动目录
  • 数据源:系统

版本: 213

规则作者:

  • Elastic

规则许可证:Elastic License v2

调查指南

编辑

分类和分析

调查用户 Kerberos 预身份验证已禁用

Kerberos 预身份验证是一种防止离线密码破解的帐户保护机制。启用后,请求访问资源的用户将通过发送包含使用其密码哈希加密的时间戳的认证服务器请求 (AS-REQ) 消息来启动与域控制器 (DC) 的通信。仅当 DC 能够使用用户密码的哈希成功解密时间戳时,它才会发送包含票证授予票证 (TGT) 的认证服务器响应 (AS-REP) 消息给用户。AS-REP 消息的一部分使用用户的密码进行签名。Microsoft 的安全监控建议指出,对于用户帐户,不应启用'不需预身份验证' – 已启用,因为它会削弱帐户 Kerberos 身份验证的安全性。

AS-REP 烘焙是一种针对不需要预身份验证的用户帐户的 Kerberos 攻击,这意味着如果目标用户禁用了预身份验证,攻击者可以请求其身份验证数据并获得可以离线暴力破解的 TGT,类似于 Kerberoasting。

可能的调查步骤

  • 确定执行此操作的用户帐户以及该帐户是否应该执行此类操作。
  • 联系帐户所有者,确认他们是否知晓此活动。
  • 确定目标帐户是否敏感或具有特权。
  • 检查警报时间范围内帐户活动是否存在可疑或异常行为。

误报分析

  • 禁用预身份验证是一种不良的安全实践,不应在域中允许。安全团队应映射和监控任何潜在的良性真阳性 (B-TP),尤其是在目标帐户具有特权的情况下。

响应和补救

  • 根据分类结果启动事件响应流程。
  • 如果存在任何检索到 TGT 的风险,请重置目标帐户的密码。
  • 重新启用预身份验证选项或禁用目标帐户。
  • 查看分配给相关用户的权限,以确保遵循最小权限原则。
  • 调查攻击者入侵或使用的系统上的凭据泄露,以确保识别所有受影响的帐户。重置这些帐户的密码以及其他可能受影响的凭据,例如电子邮件、业务系统和 Web 服务。
  • 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

设置

必须为(成功、失败)配置*审核用户帐户管理*日志记录策略。使用高级审计配置实现日志记录策略的步骤

Computer Configuration >
Policies >
Windows Settings >
Security Settings >
Advanced Audit Policies Configuration >
Audit Policies >
Account Management >
Audit User Account Management (Success,Failure)

规则查询

编辑
event.code:4738 and winlog.api:"wineventlog" and message:"'Don't Require Preauth' - Enabled"

框架:MITRE ATT&CKTM

« Kerberos 缓存凭据转储 异常进程的 Kerberos 通信 »