Sikkerhedsvurdering: Skift adgangskode for krbtgt-konto
Denne anbefaling viser en liste over alle krbtgt-konti i dit miljø med adgangskode, der sidst blev angivet for 180 dage siden.
Organisationsrisiko
Krbtgt-kontoen i Active Directory er en indbygget konto, der bruges af Kerberos-godkendelsestjenesten. Den krypterer og signerer alle Kerberos-billetter og aktiverer sikker godkendelse i domænet. Kontoen kan ikke slettes, og det er afgørende at sikre den, da kompromis kan gøre det muligt for hackere at forfalske godkendelsesanmodninger.
Hvis adgangskoden til KRBTGT-kontoen kompromitteres, kan en hacker bruge sin hash til at generere gyldige Kerberos-godkendelsesanmodninger, hvilket giver vedkommende mulighed for at udføre golden ticket-angreb og få adgang til alle ressourcer i AD-domænet. Da Kerberos er afhængig af KRBTGT-adgangskoden til at signere alle billetter, er det vigtigt at overvåge og regelmæssigt ændre denne adgangskode for at mindske risikoen for sådanne angreb.
Afhjælpningstrin
Gennemse listen over eksponerede enheder for at finde ud af, hvilke af dine krbtgt-konti der har en gammel adgangskode.
Tag de nødvendige forholdsregler på disse konti ved at nulstille deres adgangskode to gange for at annullere Golden Ticket-angrebet.
Bemærk!
Krbtgt Kerberos-kontoen i alle Active Directory-domæner understøtter nøglelager i alle KDC (Kerberos Key Distribution Centers). Hvis du vil forny Kerberos-nøglerne til TGT-kryptering, skal du jævnligt ændre adgangskoden til krbtgt-kontoen. Det anbefales at bruge det Microsoft-leverede script.