Was ist AS-REP-Rösten? | Semperis Expertenratgeber

Was ist AS-REP Roasting?

Authentication Server Response (AS-REP) Roasting ist ein Angriff auf Active Directory-Konten, bei denen die Kerberos-Vorauthentifizierung deaktiviert ist. Angreifer können eine Kerberos AS-REP für diese Konten anfordern und das zurückgegebene, passwortverschlüsselte Ticket abfangen, um dann die Anmeldedaten offline zu erzwingen. Dieser Angriff wird häufig zur Eskalation von Privilegien bei Ransomware oder anderen Kampagnen eingesetzt, insbesondere wenn privilegierte oder Dienstkonten falsch konfiguriert sind.

Wie kann ich mich vor AS-REP Roasting schützen?

Beginnen Sie mit der Verwendung von Semperis Tools wie Semperis Purple Knight oder Directory Services Protector (DSP), um Konten mit deaktivierter Kerberos-Vorauthentifizierung zu identifizieren. Diese Produkte bieten einen Sicherheitsindikator, der Sie auf das Problem aufmerksam macht.

Indikator für die Exposition (IOE): Benutzer mit deaktivierter Kerberos-Vorauthentifizierung.
- Kategorie: Konto Sicherheit
- Rahmenwerke: MITRE ATT&CK: Credential Access, ANSSI: vuln1_kerberos_properties_preauth_priv, vuln2_kerberos_properties_preauth

Bestimmen Sie als nächstes, für welche Konten die Deaktivierung der Kerberos-Vorauthentifizierung wirklich erforderlich ist. Klären Sie die IT-Beteiligten über die Risiken auf und beschränken Sie die Deaktivierung der Vorabauthentifizierung auf seltene Legacy-Fälle.

Bestimmen Sie dann, ob die Vorabauthentifizierung für die verbleibenden anfälligen Konten aktiviert werden kann, um das Risiko von Angriffen wie AS-REP Roasting zu verringern. Sie können PowerShell-Skripte verwenden, um die Vorabauthentifizierung für diese Konten zu aktivieren.

Beachten Sie, dass Purple Knight eine Momentaufnahme der gefährdeten Benutzer liefert, während DSP eine kontinuierliche Überwachung sowie automatische Benachrichtigungen und Rollbacks bei riskanten oder unerwarteten Änderungen an Active Directory-Objekten ermöglicht.

Ohne automatische Überwachung müssen Sie auf Anzeichen eines AS-REP Roasting-Angriffs achten, wie z.B. Windows-Ereignis-ID 4768-Ereignisse mit:

Vor-Authentifizierung Typ 0
Dienstname krbtgt
Ticket-Verschlüsselungstyp 0x17

Erfahren Sie mehr über AS-REP Roasting

In den folgenden Ressourcen finden Sie weitere Informationen über AS-REP Roasting und wie Sie es erkennen und abwehren können.

Neuer Forrester TEI-Bericht: Semperis verkürzt Ausfallzeiten um 90% und spart Kunden Millionenbeträge

Ransomware-Risikobericht 2025 enthüllt neue Angriffstrends

Semperis gewinnt CRNs prestigeträchtigen Partnerprogrammführer drei Jahre in Folge

Semperis wird zum vierten Mal in Folge vom Inc. Magazine's Annual List of Best Workplaces für das vierte Jahr in Folge

AS-REP Röstung

Was ist AS-REP Roasting?

Wie kann ich mich vor AS-REP Roasting schützen?

Erfahren Sie mehr über AS-REP Roasting

Neuer Forrester TEI-Bericht: Semperis verkürzt Ausfallzeiten um 90% und spart Kunden Millionenbeträge

Ransomware-Risikobericht 2025 enthüllt neue Angriffstrends

Semperis gewinnt CRNs prestigeträchtigen Partnerprogrammführer drei Jahre in Folge

Semperis wird zum vierten Mal in Folge vom Inc. Magazine's Annual List of Best Workplaces für das vierte Jahr in Folge

Blinzeln Sie und Sie verpassen die HIP Conf 25!

AS-REP Röstung

Was ist AS-REP Roasting?

Wie kann ich mich vor AS-REP Roasting schützen?

Erfahren Sie mehr über AS-REP Roasting

Registrieren Sie sich für die neuesten Semperis Nachrichten