Valutazione della sicurezza: modificare la password per l'account krbtgt
Questa raccomandazione elenca qualsiasi account krbtgt all'interno dell'ambiente con password impostata per l'ultima volta oltre 180 giorni fa.
Rischio dell'organizzazione
L'account krbtgt in Active Directory è un account predefinito usato dal servizio di autenticazione Kerberos. Crittografa e firma tutti i ticket Kerberos, abilitando l'autenticazione sicura all'interno del dominio. L'account non può essere eliminato e la protezione è fondamentale, in quanto la compromissione potrebbe consentire agli utenti malintenzionati di creare ticket di autenticazione.
Se la password dell'account KRBTGT viene compromessa, un utente malintenzionato può usare il relativo hash per generare ticket di autenticazione Kerberos validi, consentendo loro di eseguire attacchi Golden Ticket e ottenere l'accesso a qualsiasi risorsa nel dominio di Active Directory. Poiché Kerberos si basa sulla password KRBTGT per firmare tutti i ticket, il monitoraggio e la modifica periodica di questa password sono essenziali per attenuare il rischio di tali attacchi.
Passaggi di correzione
Esaminare l'elenco delle entità esposte per individuare quali degli account krbtgt hanno una password precedente.
Eseguire le azioni appropriate su tali account reimpostando la password due volte per invalidare l'attacco Golden Ticket.
Nota
L'account Kerberos krbtgt in tutti i domini di Active Directory supporta l'archiviazione delle chiavi in tutti i centri di distribuzione chiavi Kerberos (KDC). Per rinnovare le chiavi Kerberos per la crittografia TGT, modificare periodicamente la password dell'account krbtgt. È consigliabile usare lo script fornito da Microsoft.