Zum Inhalt springen
Der Windows Papst – IT Blog Walter

Der Windows Papst – IT Blog Walter

Anleitungen & Lösungen rund um die IT

Blog Suche

  • Der Windows Papst
  • Wer bin ich
    • Mein Hobby
    • Unterstützung per PayPal
    • Security Access
  • Kontaktformular
  • Impressum
  • Datenschutz

Du bist hier:

  • Startseite
  • 2021
  • Juli
  • 15
  • Kerberoasting gMSA Accounts
Abschwächen von Kerberoasting gMSA Accounts

Kerberoasting gMSA Accounts

15. Juli 2021 Jörn Walter Netzwerk

Verschlüsselungsstufe erhöhen

Zur Erhöhung der Sicherhheit (Hardening), sollten die Kerberos-Verschlüsselungstypen für Computerobjekte und Dienstkonten konfiguriert und nicht auf Standard belassen werden, sofern möglich. Das kann zentral über eine Gruppenrichtlinie erreicht werden.

Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren

Kerberoasting gMSA Accounts

In der Registry finden wir den Eintrag (Bit-Flags), nachdem die Richtlinie angewendet wurde, an folgender Stelle:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\kerberos\parameters

Registry Encryption Types Policy

Wurde die Richtlinie konfiguriert und ausgerollt, ändern die Computerkonten das Attribut dann, sobald die Richtlinie verarbeitet wurde. Danch müssen auch die Group Managed Service Account respektive die Managed Service Accounts (Dienstkonten) angepasst werden. Passt man die gMSA-Accounts nicht an, dann lassen diese sich auch nicht mehr installieren.

gMSA Account encryption type not correct

gMSA Account false encryption type

Abschwächen von Kerberoasting auf gMSA Accounts

Da wo es möglich ist, sollte immer mit der höchsten Verschlüsselung gearbeitet werden. Group Managed Service Accounts (Dienstkonten) und Computerkonten sind standardmäßig so eingestellt, das diese auch

  • RC4_HMAC_MD5

unterstützen. Dieser Verschlüsselungstyp ist unsicher. Aus diesem Grund entfernen wir diesen Typen aus der Konfiguration und dazu gehen wir wie folgt vor.

RC4_HMAC_MD5gMSA RC4_HMAC_MD5

Dazu ändern wir den Wert msDS-SupportedEncryptionTypes von 28 auf 24.

msDS-SupportedEncryptionTypes 24

Darufhin werden nur noch diese Typen (0x18) unterstützt:

  • AES128_CTS_HMAC_SHA1_96
  • AES256_CTS_HMAC_SHA1_96

AES256_CTS_HMAC_SHA1_96gMSA AES256_CTS_HMAC_SHA1_96

Das Ganze vergleichen wir noch mal eben über die Powershell.

Get-ADServiceAccount -Identity gMSAADFS -Properties *

Standardkonfiguration:

msDS-SupportedEncryptionTypes 0x1c

Optimierte und sichere Konfiguration:

Get-ADServiceAccount -Identity gMSA-SubCA -Properties *

msDS-SupportedEncryptionTypes 0x18

Encryption Types

Das Attribut msDS-SupportedEncryptionTypes unterstützt folgende Typen.

Decimal ValueHex ValueSupported Encryption Types
00x0Not defined - defaults to RC4_HMAC_MD5
10x1DES_DES_CBC_CRC
20x2DES_CBC_MD5
30x3DES_CBC_CRC, DES_CBC_MD5
40x4RC4
50x5DES_CBC_CRC, RC4
60x6DES_CBC_MD5, RC4
70x7DES_CBC_CRC, DES_CBC_MD5, RC4
80x8AES 128
90x9DES_CBC_CRC, AES 128
100xADES_CBC_MD5, AES 128
110xBDES_CBC_CRC, DES_CBC_MD5, AES 128
120xCRC4, AES 128
130xDDES_CBC_CRC, RC4, AES 128
140xEDES_CBC_MD5, RC4, AES 128
150xFDES_CBC_MD5, DES_CBC_MD5, RC4, AES 128
160x10AES 256
170x11DES_CBC_CRC, AES 256
180x12DES_CBC_MD5, AES 256
190x13DES_CBC_CRC, DES_CBC_MD5, AES 256
200x14RC4, AES 256
210x15DES_CBC_CRC, RC4, AES 256
220x16DES_CBC_MD5, RC4, AES 256
230x17DES_CBC_CRC, DES_CBC_MD5, RC4, AES 256
240x18AES 128, AES 256
250x19DES_CBC_CRC, AES 128, AES 256
260x1ADES_CBC_MD5, AES 128, AES 256
270x1BDES_CBC_MD5, DES_CBC_MD5, AES 128, AES 256
280x1CRC4, AES 128, AES 256
290x1DDES_CBC_CRC, RC4, AES 128, AES 256
300x1EDES_CBC_MD5, RC4, AES 128, AES 256
310x1FDES+A1:C33_CBC_MD5, DES_CBC_MD5, RC4, AES 128, AES 256

Durch Kerberos unterstützt Verschlüsselungstypen

Weitere Informationen zu den Encryption Types findet ihr hier.

DES_CBC_CRC
DES_CBC_MD5
RC4_HMAC_MD5
AES128_HMAC_SHA1
AES256_HMAC_SHA1
Future encryption types

Wichtiger Hinweis

Das KRBTGT-Konto unterstützt von Haus aus alle Verschlüsselungstypen. Domänen Controller ab Funktionslevel 2008 sind standardmäßig so eingestellt, das diese nur AES unterstützen. Wenn ein Dienstticket angefordert wird, wählt der Domänencontroller den Ticketverschlüsselungstyp basierend auf dem attribut msDS-SupportedEncryptionTypes des Kontos aus, das dem angeforderten SPN zugeordnet ist. Dabei kann es sich um ein Computerobjekt oder Dienstkonto handeln, das zum Hosten der Ressource im Netzwerk verwendet wird. Ist das Attribut ohne Wert werden aus Kompatibilitätsgründen Tickets mit RC4_HMAC_MD5 ausgestellt.

Events mit der ID 4768 und 4769 zeigen den jeweiligen Ticket Encryption Type an der angefragt wurde.

Kerberoasting gMSA Accounts

Weitere Informationen zum Thema Kerberoasting gMSA Accounts erhaltet ihr über Heise.

01c0x18AccountAES128_CTS_HMAC_SHA1_96AES256_CTS_HMAC_SHA1_96gmsaGroup Managed Service AccountKerberoastingMSAmsDS-SupportedEncryptionTypesService AccountsVerschlüsselungstypen

Kategorien

  • ADMX Vorlagen & Tools (2)
  • Allgemein (491)
  • Gruppenrichtlinien (43)
  • Internet (58)
  • Netzwerk (103)
  • Office & Exchange (211)
  • Security (216)
  • Skripte (514)
  • Windows 10 (218)
  • Windows 11 (12)
  • Windows 7 (76)
  • Windows 8 (68)
  • Windows Server 2008 (8)
  • Windows Server 2012 (91)
  • Windows Server 2016 (82)
  • Windows Server 2019 (105)
  • Windows Server 2022 (8)
  • Zertifikate (97)

Archive

Blogverzeichnisse

Blogtotal Bloggerei.de TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste

Wichtige News

DCOM Härtung 14. März 2023

Exchange Server Sicherheitsupdates Re-Release Februar 2023

Windows DCOM-Server Authentifizierung

Aktuelle Themen

  • Exchange Server Sicherheitsupdates Re-Release Februar 2023
    15. März 2023
  • Exchange Server DKIM Signer
    14. März 2023
  • Digitalisierung im Mitarbeiter-Management – die Vorteile für Unternehmen
    14. März 2023
  • Windows – Reboot Required Neustart ausstehend
    12. März 2023
  • AOMEI Welt Backup Tag 31.3.2023
    11. März 2023
  • Free Programming Books
    7. März 2023
  • Maßnahmenkatalog Ransomware BSI
    7. März 2023
  • Bestes kostenloses VPN von 2022
    7. März 2023
  • Härtung von Endpunkten
    6. März 2023
  • Super Bowl: Ein globaler Anlass mit bahnbrechender Werbung
    6. März 2023
  • Ports Active Directory und Active Directory-Domänendienste
    5. März 2023
  • Besonders beliebte Gaming-Trends für Windows
    27. Februar 2023
Privatsphäre-Einstellungen ändern
Copyright Jörn Walter 2022