Posouzení zabezpečení: Změna hesla pro účet krbtgt
Toto doporučení uvádí seznam všech účtů krbtgt ve vašem prostředí s heslem, které bylo naposledy nastaveno před více než 180 dny.
Organizační riziko
Účet krbtgt ve službě Active Directory je integrovaný účet používaný ověřovací službou Kerberos. Šifruje a podepisuje všechny lístky Protokolu Kerberos a umožňuje tak zabezpečené ověřování v rámci domény. Účet nelze odstranit a jeho zabezpečení je zásadní, protože by útočníkům mohlo umožnit zfašlovat lístky ověřování.
Pokud dojde k ohrožení hesla účtu KRBTGT, útočník může pomocí hodnoty hash vygenerovat platné lístky ověřování Kerberos, což mu umožní provádět útoky Golden Ticket a získat přístup k libovolnému prostředku v doméně AD. Vzhledem k tomu, že kerberos při podepisování všech lístků spoléhá na heslo KRBTGT, je pro zmírnění rizika takových útoků nezbytné pečlivě toto heslo monitorovat a pravidelně měnit.
Nápravné kroky
Projděte si seznam vystavených entit a zjistěte, které z vašich účtů krbtgt mají staré heslo.
Proveďte u těchto účtů odpovídající akci tak, že dvakrát resetováním hesla zneplatníte útok Golden Ticket.
Poznámka
Účet krbtgt Kerberos ve všech doménách služby Active Directory podporuje úložiště klíčů ve všech distribučních centrech protokolu Kerberos (KDC). Pokud chcete obnovit klíče Kerberos pro šifrování TGT, pravidelně změňte heslo účtu krbtgt. Doporučujeme použít skript od Microsoftu.