Säkerhetsbedömning: Ändra lösenord för krbtgt-konto
Den här rekommendationen listar alla krbtgt-konton i din miljö med lösenord som senast angavs för över 180 dagar sedan.
Organisationsrisk
Krbtgt-kontot i Active Directory är ett inbyggt konto som används av Kerberos-autentiseringstjänsten. Den krypterar och signerar alla Kerberos-biljetter, vilket möjliggör säker autentisering i domänen. Det går inte att ta bort kontot och det är viktigt att skydda det, eftersom intrång kan göra det möjligt för angripare att förfalska autentiseringsärenden.
Om lösenordet för KRBTGT-kontot komprometteras kan en angripare använda sin hash för att generera giltiga Kerberos-autentiseringsbiljetter, så att de kan utföra Golden Ticket-attacker och få åtkomst till alla resurser i AD-domänen. Eftersom Kerberos förlitar sig på KRBTGT-lösenordet för att signera alla biljetter är det viktigt att noggrant övervaka och regelbundet ändra det här lösenordet för att minska risken för sådana attacker.
Reparationssteg
Granska listan över exponerade entiteter för att se vilka av dina krbtgt-konton som har ett gammalt lösenord.
Vidta lämpliga åtgärder på dessa konton genom att återställa lösenordet två gånger för att ogiltigförklara golden ticket-attacken.
Obs!
Krbtgt Kerberos-kontot i alla Active Directory-domäner stöder nyckellagring i alla Kerberos Key Distribution Centers (KDC). Om du vill förnya Kerberos-nycklarna för TGT-kryptering ändrar du regelbundet lösenordet för krbtgt-kontot. Vi rekommenderar att du använder skriptet som tillhandahålls av Microsoft.