Kerberos 認証が Pass the Hash を受けない理由

Question

Active Directory の Kerberos 認証において、Pass the Hash は通用しないので、Pass the Ticcket というようなサイトがあります。

しかし Kerberos 認証においても、ERR-PREAUTH-REQUIRED にてドメインコントローラから事前認証データが送付され、AS_REQ にてクライアントからその事前認証データをパスワードハッシュで暗号化して送付、ドメインコントローラでも同じくパスワードハッシュで暗号化した結果を比較します。

これだけを考えると、パスワードハッシュでサーバーからのデータを暗号化してそれをサーバーで検証というのは NTLM 認証と変わらないと思います。

Kerberos 認証で Pass the Hash が使えないと触れているサイトはあっても、その理由を具体的に説明しているサイトを見つけることはできませんでした。

この理由について、ご存知の方がいらっしゃいましたら、ご教授のほど、お願いいたします。

なお、回答以外の書き込みや、RFC4120 のリンクを貼ってこれを参照してというような回答はご遠慮ください。

よろしくお願いいたします。

＊＊モデレーター注＊＊

この質問は Windows / Windows 10 / セキュリティ、プライバシー、アカウント に投稿されましたが、内容から判断してこちらのカテゴリに移動いたしました。

適切なカテゴリに投稿すると、返信や回答が得られやすくなり、同じ質問を持つ他のユーザーの参考にもなります。

Answer 1

この質問は以下に投稿されることをお勧めします。

Windows Server Security - Microsoft Q&A

（機械翻訳などを適宜利用して英語で投稿してください）

※ここはコンシューマー向けのフォーラムです。

Answer 2

ありがとうございます。

そのようにいたします！

Answer 3

チャブーンです。

この件ですが、下記の認識であっていますか？

• 事前認証で「パスワードハッシュ」は送られない
  How the Kerberos Version 5 Authentication Protocol Works: Logon and Authentication | Microsoft Learn
  上記を見てもらうとわかるのですが、事前認証で送られるのは"Authenticator"と呼ばれるテキスト的なデータで、たとえば現在時刻といった「再現されても問題ない」内容が送られます。この値をパスワードで暗号送付→受領後復号、という手順なので、読めればパスワードの合一性と送信時刻のチェックが間接的にできる、という仕掛けです。これはMan-In Middleという「なりすまし」の問題に対応するための事前手段で、認証そのものの動作とは直接の関係はないです(事前認証NGだったら後続もNGという実装にしているだけです)
• 事前認証は無効化できる
  Active Directoryでは頑張れば事前認証を無効化することは、可能です。Kerberos v4への対応なのかもしれませんが、v5であっても事前認証は使いたくない、という要望に対しての措置だと思います。RFC 1510では事前認証がMUSTかどうか、は明示されていませんでしたが、Microsoftとしてはそのように理解して実装しているように思われます。

上記の状況なので、パスワード(ハッシュ)をネットワーク経由で剽窃されることは、しくみてきにあり得ません。一方チケットは確かに送付されますので、Pass the Ticketということはあり得ると思います。

もし問題が別にあるとすれば、Windowsの「ダウンレベル認証」で、Kerberos認証に失敗した場合NTLM認証を再度実行する、という仕様になると思います。これはWindowsの歴史的経緯の産物でKerberos認証のしくみそのものとは無関係です。このようなことをしたくない、というならActive DirectoryでNTML認証を無効化する、ことはちゃんとできますよ。