Del via


Sikkerhetsvurdering: Endre passord for krbtgt-konto

Denne anbefalingen viser alle krbtgt-kontoer i miljøet ditt med passord som sist ble angitt for over 180 dager siden.

Organisasjonsrisiko

Krbtgt-kontoen i Active Directory er en innebygd konto som brukes av Kerberos-godkjenningstjenesten. Den krypterer og signerer alle Kerberos-billetter, noe som muliggjør sikker godkjenning i domenet. Kontoen kan ikke slettes, og å sikre den er avgjørende, da kompromiss kan tillate angripere å smi godkjenningsbilletter.
Hvis passordet til KRBTGT-kontoen er kompromittert, kan en angriper bruke hash-koden til å generere gyldige Kerberos-godkjenningsbilletter, slik at de kan utføre Golden Ticket-angrep og få tilgang til en ressurs i AD-domenet. Siden Kerberos er avhengig av KRBTGT-passordet for å signere alle billetter, er nøye overvåking og regelmessig endring av dette passordet avgjørende for å redusere risikoen for slike angrep.

Utbedringstrinn

  1. Se gjennom listen over eksponerte enheter for å finne ut hvilke av krbtgt-kontoene dine som har et gammelt passord. 

  2. Gjør passende tiltak på disse kontoene ved å tilbakestille passordet to ganger for å gjøre Golden Ticket-angrepet ugyldig. 

Obs!

Kerberos-kontoen for krbtgt i alle Active Directory-domener støtter nøkkellagring i alle Kerberos-nøkkeldistribusjonssentre (KDC). Hvis du vil fornye Kerberos-nøklene for TGT-kryptering, endrer du passordet for krbtgt-kontoen regelmessig. Det anbefales å bruke skriptet som leveres av Microsoft.

Neste trinn

Mer informasjon om Microsoft Secure Score