Avaliação de Segurança: Alterar a palavra-passe da conta krbtgt
Esta recomendação lista qualquer conta krbtgt no seu ambiente com a palavra-passe definida pela última vez há mais de 180 dias.
Risco da organização
A conta krbtgt no Active Directory é uma conta incorporada utilizada pelo serviço de autenticação Kerberos. Encripta e assina todas as permissões Kerberos, permitindo a autenticação segura no domínio. A conta não pode ser eliminada e a sua proteção é crucial, uma vez que o compromisso pode permitir que os atacantes forjem pedidos de autenticação.
Se a palavra-passe da conta KRBTGT estiver comprometida, um atacante pode utilizar o hash para gerar permissões de autenticação Kerberos válidas, permitindo-lhe realizar ataques de Permissão Dourada e obter acesso a qualquer recurso no domínio do AD. Uma vez que o Kerberos depende da palavra-passe KRBTGT para assinar todos os pedidos de suporte, a monitorização atenta e a alteração regular desta palavra-passe são essenciais para mitigar o risco de tais ataques.
Etapas de correção
Reveja a lista de entidades expostas para descobrir quais das suas contas krbtgt têm uma palavra-passe antiga.
Tome as medidas adequadas nessas contas ao repor a palavra-passe duas vezes para invalidar o ataque da Permissão Dourada.
Observação
A conta kerberos krbtgt em todos os domínios do Active Directory suporta o armazenamento de chaves em todos os Centros de Distribuição de Chaves Kerberos (KDC). Para renovar as chaves Kerberos para encriptação TGT, altere periodicamente a palavra-passe da conta krbtgt. Recomenda-se que utilize o script fornecido pela Microsoft.