なぜKerberos事前認証を無効にするオプションがあるのか?

 AS-REP Roastingは有名なActive Directoryの攻撃手法です。


解説も沢山あって「Kerberos事前認証が無効になっているユーザーIDを攻撃しますよ、だから事前認証を無効にするのは危険ですよ」というのは皆さん異口同音なのですが、「そんな危険なら、なぜKerberos事前認証をそもそも無効にするオプションがあるのか?」という解説は中々見つけることができませんでした。

恐らくKerberos事前認証に対応していない製品と認証するための設定ではと思っていましたが、以下の記事をみてやはりそうだよね、とすっきりしました。

I am sure that like me you too have seen many organizations (if not all) where this security feature of Kerberos pre-authentication is disabled for some (read many) users in order to support some applications that do not support the security feature offered by Kerberos pre-auth. (多くの組織でKerberos事前認証が、このセキュリティ機能に対応していないアプリケーションを利用するために、無効化されている)

Kerberos Pre-Authentication: Why It Should Not Be Disabled

Comments

Post a Comment

Popular posts from this blog

Why can we disable Kerberos Pre-authentication?

AS-REP Roasting is a famous technique to attack the Active Directory. You can get a lot of information saying something like "AS-REP Roasting attacks user accounts with Pre-authentication disabled. So you should not disable it". However, I struggled to find someone telling me why we can disable such a very critical security configuration like this. I assumed you would disable it if you needed to make it to work with something which are not compatible with the Kerberos pre-authentication of Active Directory. And now I am very happy that the following article may support me. I am sure that like me you too have seen many organizations (if not all) where this security feature of Kerberos pre-authentication is disabled for some (read many) users in order to support some applications that do not support the security feature offered by Kerberos pre-auth. Kerberos Pre-Authentication: Why It Should Not Be Disabled https://social.technet.microsoft.com/wiki/contents/articles/23559.kerbe...
Read more

サイバーセキュリティに関する企業の情報公開(三菱UFJファイナンシャルグループ2022年度版統合報告書)

現時点の各企業の対応レベルは様々ですが、本邦や海外の主要金融機関について、いわゆるアニュアルレポート(統合レポート)やサステナビリティレポート等の記載内容を眺めてみたいと思います。 MUFG Report 2022(統合報告書) https://www.mufg.jp/dam/ir/report/disclosure/pdf/ir2022_all_ja.pdf サイバーセキュリティ(P.113 - 114) 基本方針 サイバーセキュリティ管理態勢 ガバナンス態勢 管理体制 サイバーセキュリティに対する主な取り組み 高まる脅威に対応したセキュリティ対策 デジタルトランスフォーメーションへの対応 セキュリティ専門人材の育成 カルチャーの醸成とサイバーセキュリティ教育 メモ サイバーセキュリティ経営宣言を表明 サイバーセキュリティはリーダーシップとガバナンスの一項目 IT(システム企画部)とサイバーセキュリティ推進部(サイバーセキュリティ)は別の部が担当(P.109, リスク管理の全体像にて。P113, 2022年度より前者から後者を分離した) フュージョンセンターを立上げ、グループ/グローバルでの脅威の監視・対策の運用を日夜実施。 社内外との連携をしっかり実施(官公庁、日本CSIRT協議会、金融ISAC等) サイバーセキュリティの対策に関する全ての機能を自社のチームで管理運営、それを実現するための人材育成に努めている。 主要なトップリスクに、サイバーセキュリティを含んだITリスクあり(P.111) P113の表によると、グループCISOは三菱UFJ銀行、グループDupty CISOは三菱信託銀行と三菱UFJモルガン・スタンレー証券をそれぞれ兼務? 統合報告書・ディスクロージャー誌 https://www.mufg.jp/ir/report/disclosure/index.html
Read more