Why can we disable Kerberos Pre-authentication?

AS-REP Roasting is a famous technique to attack the Active Directory.

You can get a lot of information saying something like "AS-REP Roasting attacks user accounts with Pre-authentication disabled. So you should not disable it". However, I struggled to find someone telling me why we can disable such a very critical security configuration like this.

I assumed you would disable it if you needed to make it to work with something which are not compatible with the Kerberos pre-authentication of Active Directory. And now I am very happy that the following article may support me.

I am sure that like me you too have seen many organizations (if not all) where this security feature of Kerberos pre-authentication is disabled for some (read many) users in order to support some applications that do not support the security feature offered by Kerberos pre-auth.

Kerberos Pre-Authentication: Why It Should Not Be Disabled

Comments

Post a Comment

Popular posts from this blog

サイバーセキュリティに関する企業の情報公開(三菱UFJファイナンシャルグループ2022年度版統合報告書)

現時点の各企業の対応レベルは様々ですが、本邦や海外の主要金融機関について、いわゆるアニュアルレポート(統合レポート)やサステナビリティレポート等の記載内容を眺めてみたいと思います。 MUFG Report 2022(統合報告書) https://www.mufg.jp/dam/ir/report/disclosure/pdf/ir2022_all_ja.pdf サイバーセキュリティ(P.113 - 114) 基本方針 サイバーセキュリティ管理態勢 ガバナンス態勢 管理体制 サイバーセキュリティに対する主な取り組み 高まる脅威に対応したセキュリティ対策 デジタルトランスフォーメーションへの対応 セキュリティ専門人材の育成 カルチャーの醸成とサイバーセキュリティ教育 メモ サイバーセキュリティ経営宣言を表明 サイバーセキュリティはリーダーシップとガバナンスの一項目 IT(システム企画部)とサイバーセキュリティ推進部(サイバーセキュリティ)は別の部が担当(P.109, リスク管理の全体像にて。P113, 2022年度より前者から後者を分離した) フュージョンセンターを立上げ、グループ/グローバルでの脅威の監視・対策の運用を日夜実施。 社内外との連携をしっかり実施(官公庁、日本CSIRT協議会、金融ISAC等) サイバーセキュリティの対策に関する全ての機能を自社のチームで管理運営、それを実現するための人材育成に努めている。 主要なトップリスクに、サイバーセキュリティを含んだITリスクあり(P.111) P113の表によると、グループCISOは三菱UFJ銀行、グループDupty CISOは三菱信託銀行と三菱UFJモルガン・スタンレー証券をそれぞれ兼務? 統合報告書・ディスクロージャー誌 https://www.mufg.jp/ir/report/disclosure/index.html
Read more