Suojausarviointi: Vaihda krbtgt-tilin salasana
Tässä suosituksessa luetellaan kaikki ympäristössäsi olevat krbtgt-tilit, joiden salasana on viimeksi määritetty yli 180 päivää sitten.
Organisaation riski
Active Directoryn krbtgt-tili on kerberos-todennuspalvelun käyttämä sisäinen tili. Se salaa ja allekirjoittaa kaikki Kerberos-liput ja ottaa suojatun todentamisen käyttöön toimialueella. Tiliä ei voi poistaa, ja sen suojaaminen on ratkaisevan tärkeää, sillä kompromissin avulla hyökkääjät voivat luoda todennuslippuja.
Jos KRBTGT-tilin salasana on vaarantunut, hyökkääjä voi hajautusarvonsa avulla luoda kelvollisia Kerberos-todennuspalvelupyyntöjä, jolloin hän voi suorittaa Golden Ticket -hyökkäyksiä ja päästä käsiksi mihin tahansa AD-toimialueen resurssiin. Koska Kerberos käyttää KRBTGT-salasanaa kaikkien lippujen allekirjoittamiseen, tämän salasanan tarkka valvonta ja säännöllinen vaihtaminen on välttämätöntä tällaisten hyökkäysten riskin vähentämiseksi.
Korjausvaiheet
Tarkastele näytettyjen entiteettien luetteloa selvittääksesi, millä krbtgt-tileilläsi on vanha salasana.
Suorita asianmukaiset toimet kyseisille tileille palauttamalla salasana kahdesti , jotta Golden Ticket -hyökkäys voidaan mitätöidä.
Huomautus
Kerberos-krbtgt-tili kaikissa Active Directory -toimialueissa tukee avainsäilöä kaikissa Kerberoksen avainjakelukeskuksissa (KDC). Jos haluat uusia TGT-salauksen Kerberos-avaimet, muuta krbtgt-tilin salasana säännöllisesti. On suositeltavaa käyttää Microsoftin tarjoamaa komentosarjaa.