Beveiligingsevaluatie: wachtwoord voor krbtgt-account wijzigen
In deze aanbeveling worden alle krbtgt-accounts in uw omgeving vermeld met het wachtwoord dat meer dan 180 dagen geleden voor het laatst is ingesteld.
Organisatierisico
Het krbtgt-account in Active Directory is een ingebouwd account dat wordt gebruikt door de Kerberos-verificatieservice. Het versleutelt en ondertekent alle Kerberos-tickets, waardoor veilige verificatie binnen het domein wordt ingeschakeld. Het account kan niet worden verwijderd en het beveiligen is van cruciaal belang, omdat aanvallers mogelijk verificatietickets kunnen vervalsen.
Als het wachtwoord van het KRBTGT-account is aangetast, kan een aanvaller zijn hash gebruiken om geldige Kerberos-verificatietickets te genereren, zodat ze Golden Ticket-aanvallen kunnen uitvoeren en toegang kunnen krijgen tot elke resource in het AD-domein. Omdat Kerberos afhankelijk is van het KRBTGT-wachtwoord om alle tickets te ondertekenen, is het nauwlettend controleren en regelmatig wijzigen van dit wachtwoord essentieel om het risico op dergelijke aanvallen te beperken.
Herstelstappen
Bekijk de lijst met weergegeven entiteiten om te ontdekken welke van uw krbtgt-accounts een oud wachtwoord hebben.
Onderneem de juiste actie op deze accounts door hun wachtwoord tweemaal opnieuw in te stellen om de Golden Ticket-aanval ongeldig te maken.
Opmerking
Het krbtgt Kerberos-account in alle Active Directory-domeinen ondersteunt sleutelopslag in alle Kerberos Key Distribution Centers (KDC). Als u de Kerberos-sleutels voor TGT-versleuteling wilt vernieuwen, wijzigt u periodiek het wachtwoord van het krbtgt-account. Het wordt aanbevolen om het door Microsoft geleverde script te gebruiken.