보안 평가: krbtgt 계정의 암호 변경
이 권장 사항은 180일 전에 마지막으로 설정된 암호를 사용하여 환경 내의 모든 krbtgt 계정을 나열합니다.
조직 위험
Active Directory의 krbtgt 계정은 Kerberos 인증 서비스에서 사용하는 기본 제공 계정입니다. 모든 Kerberos 티켓을 암호화하고 서명하여 도메인 내에서 보안 인증을 사용하도록 설정합니다. 계정을 삭제할 수 없으며, 손상으로 인해 공격자가 인증 티켓을 위조할 수 있으므로 계정을 보호하는 것이 중요합니다.
KRBTGT 계정의 암호가 손상된 경우 공격자는 해시를 사용하여 유효한 Kerberos 인증 티켓을 생성하여 골든 티켓 공격을 수행하고 AD 도메인의 모든 리소스에 액세스할 수 있습니다. Kerberos는 KRBTGT 암호를 사용하여 모든 티켓에 서명하므로 이러한 공격의 위험을 완화하기 위해 이 암호를 면밀히 모니터링하고 정기적으로 변경하는 것이 중요합니다.
수정 단계
노출된 엔터티 목록을 검토하여 이전 암호가 있는 krbtgt 계정 중 어느 것을 검색할 수 있습니다.
골든 티켓 공격을 무효화하기 위해 암호를 두 번 다시 설정하여 해당 계정에 대해 적절한 조치를 취합니다.
참고
모든 Active Directory 도메인의 krbtgt Kerberos 계정은 모든 KDC(Kerberos 키 배포 센터)의 키 스토리지를 지원합니다. TGT 암호화에 대한 Kerberos 키를 갱신하려면 정기적으로 krbtgt 계정 암호를 변경합니다. Microsoft에서 제공하는 스크립트를 사용하는 것이 좋습니다.