Kerberos pre-authentication olmadan, kötü niyetli bir saldırgan, kimlik doğrulama için doğrudan sahte bir istek gönderebilir. KDC, şifreli bir TGT döndürür ve saldırgan onu çevrimdışı olarak kaba kuvvet uygulayabilir. KDC günlükleri kontrol edildiğinde, TGT için tek bir istek dışında hiçbir şey görünmeyecektir. Kerberos zaman damgası Kerberos pre-authentication uygulandığında, saldırgan KDC’lerden şifrelenmiş materyali çevrimdışı olarak Brute-Force’a doğrudan soramaz.

Active Directory domain iniz de kerberos pre-authentication disable durumda olanları tespit etmek için aşağıdaki powershell komutu kullanılır.

Get-ADUser -Filter ‘useraccountcontrol -band 4194304’ -Properties useraccountcontrol | FL