存在风险的 Kerberos 委派
Kerberos 协议对 Active Directory 的安全至关重要,该协议允许某些服务器重复使用用户凭据。如果攻击者入侵其中一台服务器,他们就可以窃取这些凭证,并使用凭证在其他资源上进行身份验证。
此严重程度的 IoE 会报告所有具有委派属性的帐户,并排除已禁用的帐户。特权用户不应配置委派属性。若要保护这些用户帐户,请将其添加到“Protected Users”组或将其标记为“敏感帐户,无法委派”。
-
在 Tenable Identity Exposure 中,单击导航窗格中的“风险暴露指标”以将其打开。
默认情况下,Tenable Identity Exposure 仅显示包含异常对象的 IoE。
-
单击“存在风险的 Kerberos 委派”IoE 的磁贴。
“指标详细信息”窗格随即打开。
-
将鼠标悬停在异常对象上并单击以查看详细信息,同时记下域名和帐户。(在此示例中:域名 = OLYMPUS.CORP,帐户 = adm-t0)
-
在远程桌面管理器(或类似工具)中,找到该域名并导航到 Tenable Identity Exposure 标记的域和帐户。
所需权限:必须拥有域管理员帐户,才能执行该过程。
-
单击帐户名称以打开“属性”对话框,然后选择“成员归属”选项卡。
-
在成员列表中,单击“添加”。
“选择组”对话框随即出现。
-
输入对象名称“Protected Users”,然后单击“检查名称”。
-
单击“确定”以关闭对话框。
-
在“属性”对话框中,单击“应用”。
此时,新组会出现在成员列表中。
-
单击“确定”以关闭对话框。
- 在 Tenable Identity Exposure 中,返回“指标详细信息”窗格并刷新页面。
异常对象不再显示在列表中。