• AS-REP Roasting ist ein Angriff auf Kerberos für Benutzerkonten, die keine Vorauthentifizierung erfordern. Die Vorabauthentifizierung ist der erste Schritt bei der Kerberos-Authentifizierung und soll Brute-Force-Angriffe zum Erraten von Passwörtern verhindern.

    Welche Tools können zum Einsatz kommen?

    1. Rebeus.exe asreproast
    2. John

     

    Lösung (Mitigation)

    Der beste Schutz vor dieser Art von Angriffen besteht darin, alle Benutzerkonten zu finden und zu entfernen/anzupassen, die so eingestellt sind, dass keine Kerberos-Vorauthentifizierung erforderlich ist.

    Die sog. PreAuthentication ist standardmäßig bei Benutzerkonten aktiviert und muss aktiv deaktiviert werden.

    Ein weiterer wirksamer Schutz gegen AS-REP Roasting-Angriffe besteht darin, lange, komplexe Passwörter zu verwenden, die selbst dann schwer zu knacken sind, wenn es einem Angreifer gelingt, diese zu stehlen.

    Über einen PowerShell Befehl lassen sich recht bequem die Benutzerkonten anzeigen, die keine PreAuthentication benötigen:

    • AD-Modul für PowerShell
    • Get-ADUser -Filter 'useraccountcontrol -band 4194304' -Properties useraccountcontrol | Out-GridView
    • Band = 4194304 bedeutet DONT_REQ_PREAUTH

    Link zum MSFT Artikel: https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/useraccountcontrol-manipulate-account-properties

    Wir benutzen Cookies

    Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

    Weitere Informationen Impressum