logo
3-2 Ідентифікація об'єктів та користувачів / лк / Лекция8 - kerberos

3. Особенности реализации протокола Kerberos.

Что касается реализации протокола Kerberos в Windows, то надо отметить следующее:

1. Kerberos не защищает от атак подбором пароля. Ключ пользователя генерируется на базе его пароля. В случае слабого пароля возможен его подбор. Таким образом, при использовании слабых паролей эффект от надежной защиты процесса аутентификации будет сведен к нулю.

2.В роли Kerberos-серверов выступают контроллеры домена, на каждом из которых должна работать служба Kerberos Key Distribution Center (KDC). Роль хранилища информации о пользователях и паролях берет на себя служба каталога Active Directory. Ключ, который разделяют между собой сервер аутентификации и сервер выдачи разрешений формируется на основе пароля служебной учетной записи krbtgt - эта запись автоматически создается при организации домена и всегда заблокирована.

3.Microsoft в своих ОС использует расширение Kerberos для применения криптографии с открытым ключом. Это позволяет осуществлять регистрацию в домене и с помощью смарт-карт, хранящих ключевую информацию и цифровой сертификат пользователя.

4.Использование Kerberos требует синхронизации внутренних часов компьютеров, входящих в домен Windows, поскольку метки времени участвуют в процессе аутентификации.

5. Службы Kerberos должны быть защищены от атак, направленных на отказ в обслуживании.

6. Службы Kerberos должны быть надежно защищены от всех видов несанкционированного доступа.

7. Полученные клиентом мандаты, а также секретные ключи должны быть защищены от несанкционированного доступа.

На сегодняшний день протокол Kerberos является широко распространенным средством аутентификации. Kerberos может использоваться в сочетании с различными криптографическими схемами, включая шифрование с открытым ключом.

Для увеличения уровня защищенности процесса аутентификации пользователей, рекомендуется отключить использование менее надежного протокола NTLM и оставить только Kerberos (если использования NTLM не требуют устаревшие клиентские ОС).

Кроме того, рекомендуется запретить администраторским учетным записям получать мандаты "с правом передачи" (это убережет от некоторых угроз, связанных автоматическим запуском приложений от имени таких записей).