Оценка безопасности: изменение пароля для учетной записи krbtgt
В этой рекомендации перечислены все учетные записи krbtgt в вашей среде с паролем, который последний раз был задан более 180 дней назад.
Риск организации
Учетная запись krbtgt в Active Directory — это встроенная учетная запись, используемая службой проверки подлинности Kerberos. Он шифрует и подписывает все билеты Kerberos, обеспечивая безопасную проверку подлинности в домене. Учетную запись нельзя удалить, и ее защита имеет решающее значение, так как компрометация может позволить злоумышленникам подделать билеты проверки подлинности.
Если пароль учетной записи KRBTGT скомпрометирован, злоумышленник может использовать его хэш для создания действительных билетов проверки подлинности Kerberos, что позволяет им выполнять атаки Golden Ticket и получать доступ к любому ресурсу в домене AD. Так как Kerberos использует пароль KRBTGT для подписи всех билетов, тщательный мониторинг и регулярное изменение этого пароля имеет важное значение для снижения риска таких атак.
Действия по исправлению
Просмотрите список открытых сущностей, чтобы узнать, какие из учетных записей krbtgt имеют старый пароль.
Выполните соответствующие действия с этими учетными записями, дважды сбросив пароль, чтобы сделать атаку Golden Ticket недействительным.
Примечание.
Учетная запись Kerberos krbtgt во всех доменах Active Directory поддерживает хранение ключей во всех центрах распространения ключей Kerberos (KDC). Чтобы обновить ключи Kerberos для шифрования TGT, периодически изменяйте пароль учетной записи krbtgt. Рекомендуется использовать сценарий, предоставленный корпорацией Майкрософт.