Évaluation de la sécurité : Modifier le mot de passe du compte krbtgt
Cette recommandation répertorie tout compte krbtgt au sein de votre environnement dont le mot de passe a été défini pour la dernière fois il y a plus de 180 jours.
Risque de l’organisation
Le compte krbtgt dans Active Directory est un compte intégré utilisé par le service d’authentification Kerberos. Il chiffre et signe tous les tickets Kerberos, ce qui permet une authentification sécurisée au sein du domaine. Le compte ne peut pas être supprimé, et sa sécurisation est essentielle, car une compromission pourrait permettre aux attaquants de falsifier des tickets d’authentification.
Si le mot de passe du compte KRBTGT est compromis, un attaquant peut utiliser son hachage pour générer des tickets d’authentification Kerberos valides, ce qui lui permet d’effectuer des attaques Golden Ticket et d’accéder à n’importe quelle ressource dans le domaine AD. Étant donné que Kerberos s’appuie sur le mot de passe KRBTGT pour signer tous les tickets, il est essentiel de surveiller de près et de modifier régulièrement ce mot de passe pour atténuer le risque de telles attaques.
Procédure de correction
Passez en revue la liste des entités exposées pour découvrir lequel de vos comptes krbtgt a un ancien mot de passe.
Prenez les mesures appropriées sur ces comptes en réinitialisant leur mot de passe deux fois pour invalider l’attaque Golden Ticket.
Remarque
Le compte Kerberos krbtgt dans tous les domaines Active Directory prend en charge le stockage de clés dans tous les centres de distribution de clés Kerberos (KDC). Pour renouveler les clés Kerberos pour le chiffrement TGT, modifiez régulièrement le mot de passe du compte krbtgt. Il est recommandé d’utiliser le script fourni par Microsoft.