セキュリティ評価: krbtgt アカウントのパスワードを変更する
この推奨事項では、180 日前にパスワードが最後に設定された環境内の krbtgt アカウントが一覧表示されます。
組織のリスク
Active Directory の krbtgt アカウントは、Kerberos 認証サービスによって使用される組み込みのアカウントです。 すべての Kerberos チケットを暗号化して署名し、ドメイン内でセキュリティで保護された認証を有効にします。 アカウントを削除できず、セキュリティで保護することが重要です。侵害により、攻撃者が認証チケットを偽造する可能性があるためです。
KRBTGT アカウントのパスワードが侵害された場合、攻撃者はそのハッシュを使用して有効な Kerberos 認証チケットを生成し、ゴールデン チケット攻撃を実行し、AD ドメイン内の任意のリソースにアクセスできるようにします。 Kerberos は KRBTGT パスワードを使用してすべてのチケットに署名するため、このような攻撃のリスクを軽減するには、このパスワードを注意深く監視し、定期的に変更することが不可欠です。
修復手順
公開されているエンティティの一覧を確認して、古いパスワードを持つ krbtgt アカウントを検出します。
パスワードを 2 回 リセットしてゴールデン チケット攻撃を無効にすることで、これらのアカウントに対して適切なアクションを実行します。
注:
すべての Active Directory ドメインの krbtgt Kerberos アカウントでは、すべての Kerberos キー配布センター (KDC) のキー ストレージがサポートされています。 TGT 暗号化の Kerberos キーを更新するには、krbtgt アカウントのパスワードを定期的に変更します。 Microsoft が提供するスクリプトを使用することをお勧めします。