« Kerberos 缓存凭据转储 来自异常进程的 Kerberos 流量 »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和警报 预构建规则参考

用户 Kerberos 预身份验证已禁用

编辑

用户 Kerberos 预身份验证已禁用

编辑

识别对帐户的 Kerberos 预身份验证选项的修改。拥有帐户 GenericWrite/GenericAll 权限的攻击者可以恶意修改这些设置,以执行离线密码破解攻击,例如 AS-REP 烤制。

规则类型: 查询

规则索引:

  • winlogbeat-*
  • logs-system.*
  • logs-windows.*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式,另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 策略:凭据访问
  • 策略:防御规避
  • 策略:特权提升
  • 资源:调查指南
  • 用例:Active Directory 监控
  • 数据源:Active Directory
  • 数据源:系统

版本: 213

规则作者:

  • Elastic

规则许可: Elastic License v2

调查指南

编辑

分类和分析

调查用户 Kerberos 预身份验证已禁用

Kerberos 预身份验证是一种针对离线密码破解的帐户保护。启用后,请求访问资源的用户通过发送一个使用其密码哈希加密的时间戳的身份验证服务器请求 (AS-REQ) 消息来启动与域控制器 (DC) 的通信。仅当 DC 能够使用用户密码的哈希成功解密时间戳时,它才会发送一个包含票证授权票证 (TGT) 的身份验证服务器响应 (AS-REP) 消息给用户。AS-REP 消息的一部分使用用户的密码签名。 Microsoft 的安全监控建议指出,不应为用户帐户启用 '不要求预身份验证' – 已启用,因为它会削弱帐户 Kerberos 身份验证的安全性。

AS-REP 烤制是针对不需要预身份验证的用户帐户的 Kerberos 攻击,这意味着如果目标用户禁用了预身份验证,攻击者可以请求其身份验证数据并获得一个可以离线暴力破解的 TGT,类似于 Kerberoasting。

可能的调查步骤

  • 识别执行操作的用户帐户以及它是否应该执行此类操作。
  • 联系帐户所有者并确认他们是否知道此活动。
  • 确定目标帐户是否敏感或特权。
  • 检查警报时间范围内帐户的活动是否存在可疑或异常行为。

误报分析

  • 禁用预身份验证是一种糟糕的安全做法,不应在域中允许。安全团队应映射和监控任何潜在的良性真阳性 (B-TP),尤其是在目标帐户是特权帐户时。

响应和补救

  • 根据分类结果启动事件响应流程。
  • 如果存在任何 TGT 已被检索的风险,请重置目标帐户的密码。
  • 重新启用预身份验证选项或禁用目标帐户。
  • 审查分配给相关用户的权限,以确保遵循最小权限原则。
  • 调查攻击者入侵或使用的系统上的凭据泄露,以确保识别所有受感染的帐户。重置这些帐户以及其他可能受感染的凭据(例如电子邮件、业务系统和 Web 服务)的密码。
  • 使用事件响应数据,更新日志记录和审计策略,以改进平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

设置

必须为(成功、失败)配置审计用户帐户管理日志记录策略。使用高级审计配置实施日志记录策略的步骤

Computer Configuration >
Policies >
Windows Settings >
Security Settings >
Advanced Audit Policies Configuration >
Audit Policies >
Account Management >
Audit User Account Management (Success,Failure)

规则查询

编辑
event.code:4738 and winlog.api:"wineventlog" and message:"'Don't Require Preauth' - Enabled"

框架: MITRE ATT&CKTM

« Kerberos 缓存凭据转储 来自异常进程的 Kerberos 流量 »