Evaluación de seguridad: cambio de la contraseña de la cuenta de krbtgt
Esta recomendación enumera cualquier cuenta krbtgt dentro de su entorno con la contraseña establecida por última vez hace más de 180 días.
Riesgo de la organización
La cuenta krbtgt de Active Directory es una cuenta integrada que usa el servicio de autenticación Kerberos. Cifra y firma todos los vales de Kerberos, lo que habilita la autenticación segura dentro del dominio. La cuenta no se puede eliminar y protegerla es fundamental, ya que el riesgo podría permitir a los atacantes falsificar vales de autenticación.
Si la contraseña de la cuenta KRBTGT está en peligro, un atacante puede usar su hash para generar vales de autenticación Kerberos válidos, lo que les permite realizar ataques golden ticket y obtener acceso a cualquier recurso del dominio de AD. Dado que Kerberos se basa en la contraseña KRBTGT para firmar todos los vales, la supervisión estrecha y el cambio regular de esta contraseña es esencial para mitigar el riesgo de tales ataques.
Pasos de corrección
Revise la lista de entidades expuestas para detectar cuál de las cuentas krbtgt tiene una contraseña antigua.
Realice las acciones adecuadas en esas cuentas restableciendo su contraseña dos veces para invalidar el ataque golden ticket.
Nota:
La cuenta de Kerberos krbtgt de todos los dominios de Active Directory admite el almacenamiento de claves en todos los centros de distribución de claves kerberos (KDC). Para renovar las claves Kerberos para el cifrado TGT, cambie periódicamente la contraseña de la cuenta krbtgt. Se recomienda usar el script proporcionado por Microsoft.