📅  最后修改于: 2023-12-03 14:43:42.819000             🧑  作者: Mango
在 Windows Active Directory 环境中,krbtgt 账户是一个特殊的账户,用于签发 Kerberos 票据。这个账户的密码通常只有域控制器(DC) 复制流量可以访问,这是因为 DC 在启动时会使用 krbtgt 的密码来解密 krbtgt 金丝雀文件,以确保启动的 DC 拥有正确的 krbtgt 密码。如果 krbtgt 密码泄漏,攻击者可以使用它来生成伪造的 Kerberos 票据,来获取域中的所有用户身份验证凭据。
因此,必须确保 krbtgt 密码的安全性。如果 krbtgt 密码已泄漏,需要进行密码重置。在进行密码重置之前,必须考虑到 Krbtgt Golden Ticket 攻击。Krbtgt Golden Ticket 是一种非常危险的攻击,通过伪造 krbtgt 票据来获取对目标 Active Directory 中所有用户身份验证的长期访问权限。如果攻击者已经植入了恶意软件并在网络中进行了持久化,则需要对 krbtgt 密码进行重置并清除所有金丝雀文件。
再次强调,密码重置和金丝雀文件的清除必须谨慎操作,因为任何错误的操作都将导致网络中的访问权限被攻击者获取。应该首先确保域中没有恶意活动,并应在网络中使用安全的协议来保护任何新的 krbtgt 密码的传输。同时,也应该注意 krbtgt 密码重置可能会破坏已经使用 Kerberos 委派的应用程序。
在进行 krbtgt 密码重置和金丝雀文件的清除之前,还需要考虑到可能需要进行其他的调查和安全检查,以防止类似的漏洞再次出现。
# 重置 krbtgt 密码
netdom resetpwd /s:<DC name> /ud:<domain>\<domain administrator> /pd:*
# 清除 krbtgt 金丝雀文件
klist.exe purge -li 0x3e7