安全评估:更改 krbtgt 帐户的密码
此建议列出你环境中最后一次设置密码超过 180 天的任何 krbtgt 帐户。
组织风险
Active Directory 中的 krbtgt 帐户是 Kerberos 身份验证服务使用的内置帐户。 它对所有 Kerberos 票证进行加密和签名,从而在域内实现安全身份验证。 该帐户无法删除,保护它至关重要,因为遭到入侵可能会让攻击者伪造身份验证票证。
如果 KRBTGT 帐户的密码遭到泄露,攻击者可以使用其哈希生成有效的 Kerberos 身份验证票证,从而允许他们执行黄金票证攻击,并获取对 AD 域中任何资源的访问权限。 由于 Kerberos 依赖于 KRBTGT 密码对所有票证进行签名,因此密切监视并定期更改此密码对于缓解此类攻击的风险至关重要。
修正步骤
审查公开实体的列表,以发现哪些 krbtgt 帐户具有旧密码。
对这些帐户采取适当的行动,重置密码两次,以使黄金票证攻击无效。
注意
所有 Active Directory 域中的 krbtgt Kerberos 帐户都支持所有 Kerberos 密钥分发中心 (KDC) 中的密钥存储。 若要续订用于 TGT 加密的 Kerberos 密钥,请定期更改 krbtgt 帐户密码。 建议使用 Microsoft 提供的脚本。