Die Anmeldeinformationsverhinderung "Domänenanmeldeinformationsfilter verwenden" funktioniert auf einigen Websites nicht

11102

Created On 08/11/22 03:22 AM - Last Modified 03/02/23 05:55 AM

Symptom

Domain-Anmeldeinformationen werden von der firewall für einige Websites nicht blockiert.

Palo Alto Firewall
PAN-OS 8.0 und höher
Anmeldeinformationsverhinderung auf " Domänenanmeldeinformationsfilter verwenden" festgelegt

Die Anmeldeinformationen während der Übertragung werden zwischen dem Client und dem Server mit einem vom Server gesendeten Verschlüsselungsschlüssel verschlüsselt.
Aus diesem Grund können die firewall Anmeldeinformationen nicht erkannt und keine Behebungsmaßnahmen ergriffen werden.
Im folgenden Beispiel greift der Benutzer Alice auf www.website.com zu.
Die Website antwortete mit einem Chiffrierschlüssel, den der Client zum Verschlüsseln seiner Anmeldeinformationen verwendet.
Alice sendet die verschlüsselten Informationen. Sie stimmt nicht mit den erwarteten Anmeldeinformationen aus dem Verzeichnis überein (Bloom-Filterinhalt).

Die Anmeldeinformationen werden während der Übertragung verschlüsselt.

Dies ist ein normales Verhalten, das erfordert, das firewall Klartext-Passwort zu sehen, um ein potenzielles Credential-Leck zu erkennen.

Bloom-Filter sind kompakte Datenstrukturen, die eine sichere Methode bieten, um zu überprüfen, ob ein Element Mitglied einer Gruppe von Elementen ist.
Der User-Credential-Dienst leitet den Bloom-Filter an den Windows-User-AgentIDID weiter.
Der firewall ruft in regelmäßigen Abständen den neuesten Bloom-Filter vom User-Agent ab und verwendet ihn, um Benutzernamen und Passwort-Hash-EinreichungenID zu erkennen.
Abhängig von Ihren Einstellungen blockiert, warnt oder erlaubt der firewall dann gültige Kennwortübermittlungen an Webseiten oder zeigt eine Antwortseite für Benutzer an, die sie vor den Gefahren von Phishing warnt, ihnen jedoch erlaubt, mit der Übermittlung fortzufahren.

Verweis