« Kerberos 缓存凭据转储 来自异常进程的 Kerberos 流量 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 预构建规则参考

用户 Kerberos 预身份验证被禁用

编辑

用户 Kerberos 预身份验证被禁用编辑

识别帐户 Kerberos 预身份验证选项的修改。 对帐户拥有 GenericWrite/GenericAll 权限的攻击者可以恶意修改这些设置,以执行脱机密码破解攻击,例如 AS-REP 烘焙。

规则类型:查询

规则索引:

  • winlogbeat-*
  • logs-system.*
  • logs-windows.*

严重性:中等

风险评分: 47

运行频率:5 分钟

搜索的索引范围:now-9m(日期数学格式,另请参阅 额外回溯时间

每次执行的最大警报数: 100

参考资料:

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 战术:凭据访问
  • 战术:防御规避
  • 战术:权限提升
  • 资源:调查指南
  • 用例:Active Directory 监控
  • 数据源:Active Directory

版本: 110

规则作者:

  • Elastic

规则许可证:Elastic 许可证 v2

调查指南编辑

分类和分析

调查用户 Kerberos 预身份验证被禁用事件

Kerberos 预身份验证是一种针对脱机密码破解的帐户保护措施。 启用后,请求访问资源的用户通过发送身份验证服务器请求 (AS-REQ) 消息来启动与域控制器 (DC) 的通信,该消息包含使用其密码哈希加密的时间戳。 当且仅当 DC 能够使用用户密码的哈希成功解密时间戳时,它才会发送包含票据授予票据 (TGT) 的身份验证服务器响应 (AS-REP) 消息给用户。 AS-REP 消息的一部分使用用户的密码签名。 Microsoft 的安全监控建议指出,不应为用户帐户启用'不需要预身份验证' - 已启用,因为这会削弱帐户 Kerberos 身份验证的安全性。

AS-REP 烘焙是一种针对不需要预身份验证的用户帐户的 Kerberos 攻击,这意味着如果目标用户已禁用预身份验证,则攻击者可以请求其身份验证数据并获取可在脱机状态下进行暴力破解的 TGT,类似于 Kerberoasting。

可能的调查步骤

  • 确定执行该操作的用户帐户,以及该帐户是否应该执行此类操作。
  • 联系帐户所有者,确认他们是否知晓此活动。
  • 确定目标帐户是否敏感或具有特权。
  • 检查警报时间范围内帐户活动是否存在可疑或异常行为。

误报分析

  • 禁用预身份验证是一种糟糕的安全做法,不应在域中允许。 安全团队应映射和监控任何潜在的良性真阳性 (B-TP),尤其是在目标帐户具有特权的情况下。

响应和修复

  • 根据分类结果启动事件响应流程。
  • 如果存在任何 TGT 已被检索的风险,请重置目标帐户的密码。
  • 重新启用预身份验证选项或禁用目标帐户。
  • 查看分配给相关用户的权限,确保遵循最小权限原则。
  • 调查攻击者入侵或使用的系统上的凭据泄露情况,确保识别所有受入侵的帐户。 重置这些帐户和其他可能泄露的凭据的密码,例如电子邮件、业务系统和 Web 服务。
  • 使用事件响应数据,更新日志记录和审计策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

设置

必须为“审核用户帐户管理”日志记录策略配置(成功、失败)。 使用高级审核配置实现日志记录策略的步骤

Computer Configuration >
Policies >
Windows Settings >
Security Settings >
Advanced Audit Policies Configuration >
Audit Policies >
Account Management >
Audit User Account Management (Success,Failure)

规则查询编辑

event.code:4738 and winlog.api:"wineventlog" and message:"'Don't Require Preauth' - Enabled"

框架:MITRE ATT&CKTM

« Kerberos 缓存凭据转储 来自异常进程的 Kerberos 流量 »