危險的 Kerberos 委派作業
Kerberos 通訊協定為 Active Directory 安全的核心,其允許選定伺服器重複使用使用者憑證。若攻擊者入侵其中一個伺服器,則可竊取其憑證並用來在其他資源上進行驗證。
此嚴重曝險指標 (IoE) 會報告具有委派屬性的所有帳戶,並排除已停用的帳戶。特權使用者不應具有委派屬性。如要保護這些使用者帳戶,請將帳戶新增至「受保護的使用者」群組,或將其標示為「帳戶為機密帳戶,不可委派」。
如要將帳戶新增至「受保護的群組」:
-
在 Tenable Identity Exposure 中,按一下導覽窗格中的「曝險指標」以開啟。
根據預設,Tenable Identity Exposure 僅會顯示包含異常物件的曝險指標 (IoE)。
-
按一下危險 Kerberos 委派曝險指標 (IoE) 的圖塊。
「指標詳細資料」窗格會隨即開啟。
-
將游標停留在異常物件上並按一下即可顯示詳細資料,記下網域名稱和帳戶(在此範例中:網域為 OLYMPUS.CORP,帳戶 = adm-t0)。
-
在 Remote Desktop Manager (或類似工具) 中,找到網域名稱並導覽至 Tenable Identity Exposure 標記的網域和帳戶。
必要權限:您必須擁有網域的管理員帳戶才能執行程序。
-
按一下帳戶名稱以開啟「內容」對話方塊,然後選取「成員隸屬」索引標籤。
-
在成員清單中按一下「新增」。
「選取群組」對話方塊會隨即顯示。
-
輸入物件名稱「受保護的使用者」,然後按一下「檢查名稱」。
-
按一下「確定」關閉對話方塊。
-
在「內容」對話方塊中按一下「套用」。
新群組會隨即顯示在成員清單上。
-
按一下「確定」關閉對話方塊。
- 在 Tenable Identity Exposure 中,返回「指標詳細資料」窗格並重新整理頁面。
清單中不會再出現異常物件。
如要將帳戶設為「不可委派」:
-
在 Remote Desktop Manager 中,找到網域名稱並導覽至 Tenable Identity Exposure 標記的網域和帳戶。
必要權限:您必須擁有網域的管理員帳戶才能執行程序。
-
按一下帳戶名稱以開啟「內容」對話方塊,然後選取「帳戶」索引標籤。
-
從帳戶選項清單中選取「帳戶為機密帳戶,不可委派」,然後按一下「套用」。
-
按一下「確定」關閉對話方塊。
- 在 Tenable Identity Exposure 中,返回「指標詳細資料」窗格並重新整理頁面。
清單中不會再出現異常物件。
