すべてのクレジットは次のサイトに行きます:
- https://www.trustedsec.com/blog/i-wanna-go-fast-really-fast-like-kerberos-fast/
- https://syfuhs.net/kerberos-fast-armoring
ここでの FAST は文字通りの速さではなく、Flexible Authentication Secure Tunnelingの頭文字を取ったもので、この登場は、ドメイン内のユーザーパスワードがオフラインで解読される問題を解決するために主に行われました。
皆さんはおそらく kerberoasting について聞いたことがあるでしょう。この技術は、オフラインでサービスアカウントの平文パスワードを破るために主に使用され、asrep-roast は、プレ認証が有効になっていない一般ユーザーの平文パスワードをオフラインで破るために使用されます。
これらの 2 つの破壊は、データパケットがユーザーパスワードから派生したハッシュで暗号化されているという同じ事実に基づいています。そして、私たちは暗号化アルゴリズムを最も弱い RC4 に制御できます。
コンピューターアカウントにはこの問題は存在しません。なぜなら、コンピューターアカウントの平文パスワードは非常に長く、非常に複雑なランダムな文字列であり、これは私のテスト環境のマシンアカウントの平文パスワードです:
非常に複雑であり、オフラインでの破壊は不可能です。たとえ本当に破られたとしても、パスワードはすでに無効になっています。マシンアカウントは通常、1 か月ごとに自動的にパスワードを更新します。
そして、FAST を有効にした後、kerberos 認証を行う際に、マシンアカウントから DC からキーを取得し、このキーを使用してユーザー認証段階のデータを保護します。したがって、オフラインで破壊しても、取得できるのはこの short-term key だけであり、それを破ることができるかどうかさえわかりません。このようなキーの長さは通常非常に長いです。