web-dev-qa-db-ja.com

Windows Active DirectoryでRC4 HMAC暗号化を無効にすると、現在のKerberos攻撃を防ぐことができますか?

Windows Active DirectoryでRC4 HMAC暗号化を無効にすると、現在のKerberos攻撃を防ぐことができますか?

RC4 HMAC暗号化はTGTチケットを要求するための暗号化キーとしてユーザーのNTハッシュに依存しているため、Windows Active Directoryでは危険であることを理解しています。

RC4からAESにアップグレードすることをお勧めします。しかし、なぜこれがより安全なのでしょうか?

実際、AESはRC4よりも強力な暗号化ですが、攻撃者はユーザーのNTハッシュを取得して、特定のユーザーに代わってTGTを要求できませんか?

詳細が間違っている場合は修正してください。

1
Shuzheng

保護するには、RC4を完全に禁止する必要があります。これは可能であり、攻撃者がRC4要求でTGTを要求するのを防ぎます。これは、DCに適用するグローバル設定です。注意すべき点の1つは、Windows/Active Directoryはユーザーがサポートできると判断するとWindows/Active Directoryが楽観的に有効にするため、ほとんどのユーザーは最終的に(明示的に無効にしない限り)最終的にAESを使用することになります。

RC4はいくつかの理由で脆弱ですが、アルゴリズムだけでなく、暗号システムの弱点でもあります。

  • RC4がひどく壊れている
  • RC4キーの派生には塩がないため、ブルートフォースは比較的簡単です
  • 完全性保護はMD5ベースのHMACです

鍵の導出中にソルトを使用し、より強力な完全性保護アルゴリズム(SHA1 HMAC)を使用するため、AESが推奨されます。

2
Steve