Windows Active DirectoryでRC4 HMAC暗号化を無効にすると、現在のKerberos攻撃を防ぐことができますか?
Windows Active DirectoryでRC4 HMAC暗号化を無効にすると、現在のKerberos攻撃を防ぐことができますか?
RC4 HMAC暗号化はTGTチケットを要求するための暗号化キーとしてユーザーのNTハッシュに依存しているため、Windows Active Directoryでは危険であることを理解しています。
RC4からAESにアップグレードすることをお勧めします。しかし、なぜこれがより安全なのでしょうか?
実際、AESはRC4よりも強力な暗号化ですが、攻撃者はユーザーのNTハッシュを取得して、特定のユーザーに代わってTGTを要求できませんか?
詳細が間違っている場合は修正してください。
保護するには、RC4を完全に禁止する必要があります。これは可能であり、攻撃者がRC4要求でTGTを要求するのを防ぎます。これは、DCに適用するグローバル設定です。注意すべき点の1つは、Windows/Active Directoryはユーザーがサポートできると判断するとWindows/Active Directoryが楽観的に有効にするため、ほとんどのユーザーは最終的に(明示的に無効にしない限り)最終的にAESを使用することになります。
RC4はいくつかの理由で脆弱ですが、アルゴリズムだけでなく、暗号システムの弱点でもあります。
- RC4がひどく壊れている
- RC4キーの派生には塩がないため、ブルートフォースは比較的簡単です
- 完全性保護はMD5ベースのHMACです
鍵の導出中にソルトを使用し、より強力な完全性保護アルゴリズム(SHA1 HMAC)を使用するため、AESが推奨されます。