安全评估:更改 krbtgt 帐户的密码
此建议列出环境中密码上次设置超过 180 天的任何 krbtgt 帐户。
组织风险
Active Directory 中的 krbtgt 帐户是 Kerberos 身份验证服务使用的内置帐户。 它会对所有 Kerberos 票证进行加密和签名,从而在域中启用安全身份验证。 无法删除该帐户,保护帐户安全至关重要,因为入侵可能允许攻击者伪造身份验证票证。
如果 KRBTGT 帐户的密码遭到入侵,攻击者可以使用其哈希生成有效的 Kerberos 身份验证票证,从而允许他们执行黄金票证攻击并获取对 AD 域中任何资源的访问权限。 由于 Kerberos 依赖于 KRBTGT 密码对所有票证进行签名,因此密切监视并定期更改此密码对于降低此类攻击的风险至关重要。
修正步骤
查看公开的实体列表,了解哪些 krbtgt 帐户具有旧密码。
通过重置密码 两次 对这些帐户采取适当的操作,使黄金票证攻击失效。
注意
所有 Active Directory 域中的 krbtgt Kerberos 帐户都支持所有 Kerberos 密钥分发中心 (KDC) 中的密钥存储。 若要续订 Kerberos 密钥进行 TGT 加密,请定期更改 krbtgt 帐户密码。 建议使用 Microsoft提供的脚本。