Cambio de la contraseña de la cuenta krbtgt de Active Directory - informaticamadridmayor

Krbtgt La cuenta de usuario se crea automáticamente cuando promoviendo un nuevo dominio de Active Directory. Sin embargo, muchos administradores de AD no tienen el conocimiento suficiente de esta cuenta, lo cual es muy importante desde el punto de vista de la seguridad y de todo el funcionamiento del dominio. ¡Intentemos arreglarlo!

La cuenta krbtgt con RID 502 se crea en el contenedor Usuarios cuando se instala el primer controlador de dominio. Esta cuenta está deshabilitada y se agrega solo a dos Grupos de seguridad de AD: Usuarios de dominio y grupo de replicación de contraseñas RODC denegadas. No puede cambiar el nombre de esta cuenta, habilitarla o eliminarla. Esta cuenta es clave para el funcionamiento de los servicios KDC y Kerberos en el dominio AD.

los KDC El servicio (Centro de distribución de Kerberos) se ejecuta en cada controlador de dominio AD, que procesa todas las solicitudes de tickets de Kerberos. Para crear una clave secreta que se utiliza para cifrar y descifrar los tickets TGT (emitidos por todos los KDC del dominio), se utiliza la contraseña de la cuenta krbtgt.

En la mayoría de los casos, la contraseña de la cuenta krbtgt no cambia desde el momento de la implementación de AD y si el hash de esta contraseña cae en manos de un hacker (por ejemplo, usando mimikatz o utilidades similares), puede crear su propio Golden Ticket Kerberos. , omitiendo el KDC y autenticándose en cualquier servicio en el dominio de AD mediante Kerberos.

Nota. El hash de la contraseña de la cuenta krbtgt no se almacena en los controladores de dominio del controlador de dominio de solo lectura (RODC), ya que cada RODC tiene su propia cuenta krbtgt.

Puede obtener información sobre la cuenta krbtgt y la fecha del último cambio de contraseña con PowerShell:

Get-AdUser krbtgt -property created, passwordlastset, enabled

En nuestro ejemplo, puede ver que la contraseña krbtgt no ha cambiado desde la creación del dominio AD.

Por razones de seguridad y para contrarrestar un ataque del tipo Golden Ticket Attack, es necesario cambiar periódicamente la contraseña de la cuenta de dominio krbtgt (una vez al año y cuando cualquier administrador de dominio deja su empresa). Debe cambiar la contraseña dos veces (con un retraso suficiente para realizar la replicación en todo el dominio), porque la contraseña actual y anterior de la cuenta krbtgt se almacena en el dominio. Incluso si los atacantes emitieron el Golden Ticket con un largo período de validez, después de cambiar la contraseña krbtgt, este ticket se volverá inútil.

Nota. Cuando usted elevar el nivel funcional del dominio (por ejemplo, de Windows Server 2012 R2 a Windows Server 2016), la contraseña de la cuenta krbtgt cambia automáticamente.

Puede cambiar la contraseña krbtgt como para cualquier usuario normal a través del Complemento ADUC (Restablecer contraseña), o puede usar un script de PowerShell listo

Restablezca la contraseña / claves de la cuenta krbtgt (https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51), que no solo cambia la contraseña de la cuenta, sino que también inicia y rastrea la replicación de esta contraseña en el dominio.

¡Utilice una contraseña segura para krbtgt!

Si realiza un segundo cambio de la contraseña de la cuenta krbtgt durante los retrasos en la replicación, es posible que tenga problemas con algunos servicios de dominio (por ejemplo, Exchange). Para minimizar los riesgos después de cambiar la contraseña krbtgt, debe reiniciar el servicio Centro de distribución de claves Kerberos en todos los controladores de dominio manualmente a través de la consola services.msc (seleccione el servicio Distribución de claves Kerberos y haga clic en "Reiniciar").

O (mucho más fácil), reinicie el servicio KDC usando PowerShell Get-Service:

$DCs=Get-ADDomainController
Get-Service KDC -ComputerName $DCs | Restart-Service