セキュリティ評価: krbtgt アカウントのパスワードを変更する
この推奨事項では、お客様の環境内の krbtgt アカウントのうち、最後のパスワード設定から 180 日以上経過しているアカウントの一覧が示されます。
組織のリスク
Active Directory 内の krbtgt アカウントは、Kerberos 認証サービスで使用される組み込みアカウントです。 このアカウントは、すべての Kerberos チケットを暗号化し署名するため、ドメイン内でのセキュアな認証が可能になります。 このアカウントは削除できず、侵害されると攻撃者が認証チケットを偽造できるようになる可能性があります。そのため、このアカウントのセキュリティを確保することは極めて重要です。
KRBTGT アカウントのパスワードが漏洩すると、攻撃者はそのハッシュを使用して有効な Kerberos 認証チケットを生成できます。これによりゴールデン チケット攻撃が可能となり、攻撃者は AD ドメイン内のあらゆるリソースにアクセスできてしまいます。 Kerberos はすべてのチケットの署名に KRBTGT パスワードを使用します。そのため、このパスワードの厳重な監視と定期的な変更が、こうした攻撃のリスク軽減に不可欠です。
修復手順
露出しているエンティティの一覧を確認して、古いパスワードが設定されている krbtgt アカウントを見つけます。
これらのアカウントに対して適切な処置を講じます。具体的には、パスワードを 2 回リセットして、ゴールデン チケット攻撃を無効化します。
Note
すべての Active Directory ドメイン内の krbtgt Kerberos アカウントはすべての Kerberos キー配布センター (KDC) でのキー ストレージをサポートしています。 TGT の暗号化に使用する Kerberos キーを更新するために、krbtgt アカウントのパスワードを定期的に変更してください。 Microsoft が提供するスクリプトを使用することをお勧めします。