Sicherheitsbewertung: Ändern des Kennworts für das krbtgt-Konto
Diese Empfehlung listet alle krbtgt-Konten in Ihrer Umgebung auf, deren Kennwort zuletzt vor mehr als 180 Tagen festgelegt wurde.
Organisationsrisiko
Das krbtgt-Konto in Active Directory (AD) ist ein integriertes Konto, das vom Kerberos-Authentifizierungsdienst verwendet wird. Es verschlüsselt und signiert alle Kerberos-Tickets und ermöglicht dadurch die sichere Authentifizierung innerhalb der Domäne. Das Konto kann nicht gelöscht werden, und sein Schutz ist entscheidend, da eine Kompromittierung es Angreifern ermöglichen könnte, Authentifizierungstickets zu fälschen.
Wenn das Kennwort des KRBTGT-Kontos kompromittiert wird, kann der Angreifer den Hash des Kennworts verwenden, um gültige Kerberos-Authentifizierungstickets zu generieren, sodass er Golden Ticket-Angriffe durchführen und Zugriff auf jede Ressource in der AD-Domäne erhalten kann. Da Kerberos das KRBTGT-Kennwort benötigt, um alle Tickets zu signieren, ist eine enge Überwachung und regelmäßige Änderung dieses Kennworts unerlässlich, um das Risiko solcher Angriffe zu mindern.
Schritte zur Bereinigung
Überprüfen Sie die Liste der verfügbar gemachten Entitäten, um herauszufinden, welche Ihrer krbtgt-Konten ein altes Kennwort haben.
Ergreifen Sie geeignete Maßnahmen für diese Konten, indem Sie die zugehörigen Kennwörter zweimal zurücksetzen, um den Golden Ticket-Angriff ungültig zu machen.
Hinweis
Das krbtgt-Kerberos-Konto in allen Active Directory-Domänen unterstützt die Schlüsselspeicherung in jedem Kerberos-Schlüsselverteilungscenter (Key Distribution Center, KDC). Um die Kerberos-Schlüssel für die Ticket-Granting Ticket (TGT)-Verschlüsselung zu verlängern, ändern Sie das Kennwort für das krbtgt-Konto regelmäßig Es wird empfohlen, das von Microsoft bereitgestellte Skript zu verwenden.