Sicherheitsbewertung: Ändern des Kennworts für das krbtgt-Konto
Diese Empfehlung listet alle krbtgt-Konten in Ihrer Umgebung auf, deren Kennwort zuletzt vor mehr als 180 Tagen festgelegt wurde.
Organisationsrisiko
Das krbtgt-Konto in Active Directory ist ein integriertes Konto, das vom Kerberos-Authentifizierungsdienst verwendet wird. Es verschlüsselt und signiert alle Kerberos-Tickets, wodurch eine sichere Authentifizierung innerhalb der Domäne ermöglicht wird. Das Konto kann nicht gelöscht werden, und die Sicherung ist entscheidend, da Angreifer durch eine Kompromittierung Authentifizierungstickets erstellen können.
Wenn das Kennwort des KRBTGT-Kontos kompromittiert wird, kann ein Angreifer seinen Hash verwenden, um gültige Kerberos-Authentifizierungstickets zu generieren, sodass er Golden Ticket-Angriffe ausführen und Zugriff auf jede Ressource in der AD-Domäne erhalten kann. Da Kerberos auf das KRBTGT-Kennwort angewiesen ist, um alle Tickets zu signieren, ist eine sorgfältige Überwachung und regelmäßiges Ändern dieses Kennworts unerlässlich, um das Risiko solcher Angriffe zu verringern.
Schritte zur Fehlerbehebung
Überprüfen Sie die Liste der verfügbar gemachten Entitäten, um herauszufinden, welches Ihrer krbtgt-Konten über ein altes Kennwort verfügt.
Ergreifen Sie geeignete Maßnahmen für diese Konten, indem Sie ihr Kennwort zweimal zurücksetzen, um den Golden Ticket-Angriff für ungültig zu erklären.
Hinweis
Das krbtgt-Kerberos-Konto in allen Active Directory-Domänen unterstützt die Schlüsselspeicherung in allen Kerberos-Schlüsselverteilungscentern (KDC). Um die Kerberos-Schlüssel für die TGT-Verschlüsselung zu erneuern, ändern Sie in regelmäßigen Abständen das Krbtgt-Kontokennwort. Es wird empfohlen, das von Microsoft bereitgestellte Skript zu verwenden.