اطمینان حاصل کنید که ماژول احراز هویت Internet Information Services (IIS) به گونه ای تنظیم شده که از Kerberos به عنوان Authentication Provider استفاده کند.(Not Scored)
Profile Applicability
• Level 1 (L1) – Corporate/Enterprise Environment (general use)
Description
پروتکل Kerberos پروتکل امنتری نسبت به NTLM است و براساس ticketing عمل میکند. در این مکانزیم، کاربر، نام کاربری و رمز عبور معتبری را به یک سرور احراز هویت، ارائه میدهد. سپس، سرور احراز هویت به کاربر یک ticket اعطا میکند. این ticket را می توان در شبکه برای درخواست منابع شبکه استفاده نمود.
Rationale
پروتکل NTLM دارای چندین آسیبپذیری است که در آن یک مهاجم میتواند برای دسترسی به credential های کاربر از حمله pass the hash استفاده کند. پروتکل Kerberos پروتکل امنتری است که بر اساس سیستم ticketing ارائه شده و استفاده از آن توصیه میشود.
Audit
با استفاده از یک پنجره Command Prompt در سروری که IIS در آن در حال اجرا است به پوشه Inetpub \ Adminscripts بروید:
1- دستور cd Drive:\inetpub\adminscripts را در پنجره خط فرمان وارد نمایید.
توجه: در این دستور، منظور از درایو، درایوی است که در آن Microsoft Windows نصب شده است.
2- دستور cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders را در پنجره خط فرمان وارد نمایید.
توجه: در این دستور ، ## شماره شناسه سرور مجازی است. شماره شناسه سرور مجازی Default Web site در IIS برابر با 1 است.
3- دستور cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders را وارد نمایید.
توجه: در این دستور، ## شماره شناسه سرور مجازی است.
4- تایید کنید که Negotiate,NTLM به عنوان Authentication Provider تنظیم شده است.
Remediation
با استفاده از یک پنجره Command Prompt در سروری که IIS در آن در حال اجرا است به پوشه Inetpub \ Adminscripts بروید:
1- دستور cd Drive:\inetpub\adminscripts را در پنجره خط فرمان وارد کنید.
توجه: در این دستور، منظور از درایو، درایوی است که در آن Microsoft Windows نصب شده است.
2- دستور cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders را در پنجره خط فرمان وارد کنید.
توجه: در این دستور ، ## شماره شناسه سرور مجازی است. شماره شناسه سرور مجازی Default Web site در IIS برابر با 1 است.
3- دستور cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders Negotiate,NTLM را وارد کنید.
توجه: در این دستور، ## شماره شناسه سرور مجازی است.
4- دستور iisreset را برای ریست نمودن IIS در پنجره خط فرمان وارد کنید.
Impact
یک مهاجم میتواند از آسیبپذیریهای موجود در پروتکلهای NTLM قدیمی استفاده نموده و به credential های کاربری و مدیریتی دسترسی پیدا کند.
Default Value
NTLM
References
msdn.microsoft.com/en-us/library/cc339532(v=vs.90).aspx
مطالب این بخش برگرفته از مستند امن سازی SharePoint 2019 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
