Délégation Kerberos dangereuse

Le protocole Kerberos sur lequel repose la sécurité de l'Active Directory, autorise certains serveurs à réutiliser les informations d'authentification des utilisateurs. Si l'un de ces serveurs est compromis, un attaquant peut s'authentifier sur d'autres ressources après avoir dérobé les informations d'authentification.

Cet IoE de niveau critique signale tous les comptes avec des attributs de délégation et exclut les comptes désactivés. Les utilisateurs privilégiés ne devraient pas avoir d'attributs de délégation. Pour protéger ces comptes utilisateur, ajoutez-les au groupe « Protected Users » ou marquez-les comme « Le compte est sensible et ne peut pas être délégué ».

  1. Dans Tenable Identity Exposure, cliquez sur Indicateurs d'exposition dans le volet de navigation pour l'ouvrir.

    Par défaut, Tenable Identity Exposure affiche uniquement les IoE qui contiennent des objets déviants.

  2. Cliquez sur la tuile de l'IoE Délégation Kerberos dangereuse.

    Le volet Détails de l'indicateur apparaît.

  3. Survolez l'objet déviant et cliquez dessus pour afficher ses détails, puis notez le nom de domaine et le compte. (Dans cet exemple : le domaine = OLYMPUS.CORP et le compte = adm-t0)

  4. Dans le gestionnaire de bureau à distance (ou un outil similaire), localisez le nom de domaine et accédez au domaine et au compte signalés par Tenable Identity Exposure.

    Autorisation requise : vous devez disposer d'un compte administrateur sur le domaine pour effectuer la procédure.

  5. Cliquez sur le nom du compte pour ouvrir la boîte de dialogue Propriétés et sélectionnez l'onglet Membre de.

  6. Dans la liste des membres, cliquez sur Ajouter.

    La boîte de dialogue Sélectionner des groupes apparaît.

  7. Saisissez le nom d'objet « Protected Users » et cliquez sur Vérifier les noms.

  8. Cliquez sur OK pour refermer la boîte de dialogue.

  9. Dans la boîte de dialogue Propriétés, cliquez sur Appliquer.

    Le nouveau groupe apparaît dans la liste des membres.

  10. Cliquez sur OK pour refermer la boîte de dialogue.

  11. Dans Tenable Identity Exposure, revenez au volet Détails de l'indicateur et actualisez la page.

    L'objet déviant n'apparaît plus dans la liste.

  1. Dans le gestionnaire de bureau à distance, localisez le nom de domaine et accédez au domaine et au compte signalés par Tenable Identity Exposure.

    Autorisation requise : vous devez disposer d'un compte administrateur sur le domaine pour effectuer la procédure.

  2. Cliquez sur le nom du compte pour ouvrir la boîte de dialogue Propriétés et sélectionnez l'onglet Compte.

  3. Dans la liste des options de compte, sélectionnez « Le compte est sensible et ne peut pas être délégué » et cliquez sur Appliquer.

  4. Cliquez sur OK pour refermer la boîte de dialogue.

  5. Dans Tenable Identity Exposure, revenez au volet Détails de l'indicateur et actualisez la page.

    L'objet déviant n'apparaît plus dans la liste.