Credential Prevention の「use Domain Credential Filter」が一部の Web サイトで機能しない
11110
Created On 08/11/22 03:22 AM - Last Modified 03/02/23 05:55 AM
Symptom
ドメイン資格情報は、によってブロックされませんfirewall一部のウェブサイト用。
Environment
- パロアルト Firewall
- PAN-OS 8.0以上
- Credential Prevention を「使用する」に設定ドメイン資格情報フィルター"
Cause
- 転送中の資格情報は、サーバーから送信された暗号化キーを使用して、クライアントとサーバーの間で暗号化されます。
- そのため、firewall資格情報を検出できず、修復アクションを実行できません。
- 以下の例では、ユーザーアリスにアクセスしていますwww.website.com .
- Web サイトは、クライアントが資格情報を暗号化するために使用する暗号化キーで応答しました。
- アリスは暗号化された情報を送信します。 ディレクトリからの予想される認証情報 (ブルーム フィルターのコンテンツ) と一致しません。
Resolution
これは正常な動作であり、firewallクレデンシャル リークの可能性を検出するために、平文のパスワードを確認する必要があります。
Additional Information
- ブルーム フィルターは、要素が一連の要素のメンバーであるかどうかを確認するための安全な方法を提供するコンパクトなデータ構造です。
- ユーザー-ID資格情報サービスは、ブルーム フィルターを Windows ユーザーに転送します。IDエージェント;
- のfirewallユーザーから最新のブルーム フィルターを取得します。IDエージェントに定期的に送信し、それを使用してユーザー名とパスワード ハッシュの送信を検出します。
- 設定に応じて、firewall次に、Web ページへの有効なパスワード送信をブロック、警告、または許可するか、フィッシングの危険性を警告する応答ページをユーザーに表示しますが、ユーザーは送信を続行できます