Sikkerhetsvurdering: Endre passord for krbtgt-konto
Denne anbefalingen viser alle krbtgt-kontoer i miljøet ditt med passord som sist ble angitt for over 180 dager siden.
Organisasjonsrisiko
Krbtgt-kontoen i Active Directory er en innebygd konto som brukes av Kerberos-godkjenningstjenesten. Den krypterer og signerer alle Kerberos-billetter, noe som muliggjør sikker godkjenning i domenet. Kontoen kan ikke slettes, og å sikre den er avgjørende, da kompromiss kan tillate angripere å smi godkjenningsbilletter.
Hvis passordet til KRBTGT-kontoen er kompromittert, kan en angriper bruke hash-koden til å generere gyldige Kerberos-godkjenningsbilletter, slik at de kan utføre Golden Ticket-angrep og få tilgang til en ressurs i AD-domenet. Siden Kerberos er avhengig av KRBTGT-passordet for å signere alle billetter, er nøye overvåking og regelmessig endring av dette passordet avgjørende for å redusere risikoen for slike angrep.
Utbedringstrinn
Se gjennom listen over eksponerte enheter for å finne ut hvilke av krbtgt-kontoene dine som har et gammelt passord.
Gjør passende tiltak på disse kontoene ved å tilbakestille passordet to ganger for å gjøre Golden Ticket-angrepet ugyldig.
Obs!
Kerberos-kontoen for krbtgt i alle Active Directory-domener støtter nøkkellagring i alle Kerberos-nøkkeldistribusjonssentre (KDC). Hvis du vil fornye Kerberos-nøklene for TGT-kryptering, endrer du passordet for krbtgt-kontoen regelmessig. Det anbefales å bruke skriptet som leveres av Microsoft.