Udostępnij za pośrednictwem

Ocena zabezpieczeń: zmienianie hasła dla konta krbtgt

  • Artykuł

To zalecenie zawiera listę wszystkich kont krbtgt w środowisku z hasłem ostatnio ustawionym ponad 180 dni temu.

Ryzyko organizacji

Konto krbtgt w usłudze Active Directory to wbudowane konto używane przez usługę uwierzytelniania Kerberos. Szyfruje i podpisuje wszystkie bilety Kerberos, włączając bezpieczne uwierzytelnianie w domenie. Nie można usunąć konta, a jego zabezpieczenie ma kluczowe znaczenie, ponieważ naruszenie zabezpieczeń może umożliwić osobom atakującym fałszowanie biletów uwierzytelniania.
Jeśli hasło konta KRBTGT zostanie naruszone, osoba atakująca może użyć skrótu do wygenerowania prawidłowych biletów uwierzytelniania Kerberos, umożliwiając im przeprowadzanie ataków z użyciem złotego biletu i uzyskiwanie dostępu do dowolnego zasobu w domenie usługi AD. Ponieważ protokół Kerberos korzysta z hasła KRBTGT do podpisywania wszystkich biletów, ścisłe monitorowanie i regularne zmienianie tego hasła jest niezbędne do ograniczenia ryzyka takich ataków.

Kroki korygowania

  1. Przejrzyj listę uwidocznionych jednostek, aby dowiedzieć się, które konta krbtgt mają stare hasło. 

  2. Podejmij odpowiednie działania na tych kontach przez dwukrotne zresetowanie hasła w celu unieważnienia ataku z powodu złotego biletu. 

Uwaga

Konto krbtgt Kerberos we wszystkich domenach usługi Active Directory obsługuje magazyn kluczy we wszystkich centrach dystrybucji kluczy Kerberos (KDC). Aby odnowić klucze Kerberos na potrzeby szyfrowania TGT, okresowo zmieniaj hasło konta krbtgt. Zaleca się użycie skryptu dostarczonego przez firmę Microsoft.

Następne kroki

Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft