Pular para o conteúdo principal

Redefina a Senha KRBTGT para Evitar Ataques de Golden Ticket

Redefina a Senha KRBTGT para Evitar Ataques de Golden Ticket

Prática de segurança essencial que pode ajudar a proteger o Active  Directory contra ameaças sofisticadas: a redefinição regular da senha da conta KRBTGT.

O que é a conta KRBTGT e por que ela é tão importante?

A conta KRBTGT é um componente crítico do Active Directory (AD). Ela é usada para criptografar e assinar todos os Kerberos Ticket Granting Tickets (TGTs) da nossa rede. Em termos simples, ela atua como o "cofre de senhas mestre" do Kerberos, a tecnologia que autentica nossos usuários e serviços.

A Ameaça: Ataques de Golden Ticket

A senha da conta KRBTGT raramente muda. Essa estabilidade, embora conveniente, a torna um alvo primário para cibercriminosos. Se um invasor conseguir essa senha (por meio de ferramentas como o Mimikatz, por exemplo), ele pode criar um "golden ticket".

Um golden ticket é um TGT forjado que concede ao invasor acesso irrestrito a qualquer serviço ou recurso na rede por um período quase ilimitado, sem a necessidade de nova autenticação. Esse ataque, uma vez bem-sucedido, permite que o atacante se mova lateralmente, roube dados sensíveis e obtenha controle total sobre a infraestrutura.

Como a Redefinição de Senha Ajuda

Ao redefinir a senha da KRBTGT, desativamos automaticamente todos os golden tickets existentes e invalidamos qualquer ticket que um invasor possa ter criado. Esta ação simples, mas poderosa, garante que mesmo que a senha antiga tenha sido comprometida, ela se torne inútil para futuros ataques.

Como Alterar a Senha da KRBTGT

A alteração da senha da KRBTGT deve ser feita em duas etapas para evitar problemas de replicação e interrupções. É importante executar este processo em um controlador de domínio (DC) que atue como o emulador de controlador de domínio primário (PDC Emulator).

Você pode usar o PowerShell para este processo:

  1. Etapa 1: Redefinir a senha para um valor aleatório.

    PowerShell
    # Conecte-se ao seu DC com as ferramentas do AD
# Substitua o nome do seu domínio
Set-ADUser -Identity "krbtgt" -ChangePassword -NewPassword $Password1

    Nesta etapa, você está redefinindo a senha do KRBTGT. Durante a replicação, alguns controladores de domínio podem não ter a nova senha. Isso faz com que alguns TGTs não sejam válidos em um DC diferente daquele onde a senha foi redefinida, mas os TGTs existentes ainda funcionam.

  2. Etapa 2: Redefina a senha novamente. Depois que a primeira senha tiver sido replicada para todos os DCs (geralmente em 10 a 12 horas ou mais, dependendo do ambiente), você pode executar a redefinição uma segunda vez para um novo valor aleatório.

    PowerShell
    # Substitua o nome do seu domínio
Set-ADUser -Identity "krbtgt" -ChangePassword -NewPassword $Password2

    A segunda redefinição invalida quaisquer golden tickets que possam ter sido criados a partir da primeira senha e garante que todos os DCs tenham a mesma senha. Após a segunda redefinição, todos os TGTs existentes (incluindo aqueles que não foram invalidados na primeira etapa) expirarão e os usuários terão que se autenticar novamente.

Redefinindo a senha do Kerberos com ADUC

Existem várias maneiras de redefinir a senha. Se preferir usar Usuários e Computadores do Active Directory (ADUC):

  1. Clique em “Iniciar”.
  2. Na caixa de pesquisa digite “ADUC”.
  3. Clique em “Exibir” e depois em “Recursos avançados”.
  4. Na árvore do console, clique duas vezes no contêiner de domínio e selecione “Usuários”.
  5. No painel Detalhes, clique com o botão direito do mouse na conta de usuário do KRBTGT e selecione “Redefinir senha”.
  6. Digite a nova senha em “Nova senha” e digite-a novamente em “Confirmar senha” e selecione “OK”.

A senha especificada não é relevante, pois o sistema gerará uma senha forte automaticamente, independentemente da senha especificada. A Microsoft recomenda redefinir a senha da Conta de Serviço do Centro de Distribuição de Chaves duas vezes. É necessário um período de espera de dez horas entre as redefinições, pois esse é o tempo de vida máximo padrão para o tíquete de usuário e o tempo de vida máximo para as configurações de política de tíquete de serviço. Se você alterar o tempo de vida máximo, o período mínimo de espera entre as redefinições deverá ser maior que o valor configurado. O valor do histórico de senhas da conta KRBTGT é "2", o que significa que inclui as duas senhas mais recentes. Redefinir a senha duas vezes limpa as senhas antigas do histórico, de forma que nenhum outro controlador de domínio possa replicar com este controlador de domínio usando uma senha antiga. Siga este processo para manutenção regular.

Ações Recomendadas

1 - Em caso de violação, altere a senha duas vezes rapidamente para interromper a replicação do AD, forçando os clientes a se autenticarem novamente. Você precisará reinicializar os controladores de domínio e os servidores de aplicativos para que o Kerberos se conecte corretamente novamente.

2 - Recomendo que redefinam a senha da conta KRBTGT pelo menos uma ou duas vezes por ano. Embora isso exija cautela para evitar interrupções, os benefícios de segurança superam em muito os riscos.

Redefini-la regularmente é uma das medidas mais eficazes para proteger o nosso Active Directory e garantir a integridade da rede.


https://cert.europa.eu/publications/security-guidance/CERT-EU_Security_Whitepaper_2014-007/pdf


Comentários

Postar um comentário

Postagens mais visitadas deste blog

O que são FSMO - Flexible Single-Master Operation.

O Active Directory ou apenas AD é  o repositório central no qual todos os objetos de uma rede de computadores empresarial e seus respectivos atributos são armazenados. É um banco de dados hierárquico que pode armazenar milhões de objetos e as alterações nestes objetos podem ser processadas por qualquer servidor do AD, chamados de  controladores de domínio* . *No dia a dia de trabalho, muitas vezes nos referimos aos controladores de domínio, pelo termo em inglês, Domain Controller ou a sua sigla, DC. Leia também:  Active Directory e Microsoft Entra ID: A base do gerenciamento de identidade e acesso. As funções FSMO desempenham um papel fundamental na integridade do AD.  O Active Directory  fornece a flexibilidade de permitir que as alterações ocorram em qualquer controlador de domínio e a maneira que o AD lida com atualizações conflitantes é ter um algoritmo de resolução de conflitos, no qual as últimas alterações gravadas prevalecem.   Embora esse méto...
Postar um comentário
Leia mais »

Como transferir as FSMO no Windows Server

Um dos maiores medos de um administrador é perder os controladores de domínio que tem as FSMO - Flexible Single-Master Operation, m as não se preocupe tanto, porque há como transferi-las, mesmo perdendo definitivamente o servidor. Neste tutorial vamos abordar exclusivamente a transferência das FSMO com o utilitário Ntdsutil.exe pelo prompt de comando. Antes de transferir as FSMO, lembre-se que: A possibilidade de transferência não exclui a necessidade de backup dos Windows Servers do Active Directory. Recomenda-se manter as funções Domain Naming Master e Schema Master no mesmo DC, que deve ser um  servidor  de Catálogo Global (GC) simultaneamente; Se você perdeu o servidor com a função Schema Master, poderá   atribuir essa função a qualquer outro controlador de domínio   .  Mas tenha em mente que o Schema Master original não deverá aparecer na rede depois disso; Se você chegou aqui e não sabe o que são FSMO e a importância de cada uma das funções, leia o artig...
Postar um comentário
Leia mais »

Como obter sua chave do produto do Windows com o prompt de comando.

Se quiser obter sua chave do produto do Windows 10 ou do Windows 11, a maneira mais fácil de fazer é com o prompt de comando do Windows. O que é a chave do produto do Windows? Uma chave do produto ou licença do Windows é um código de 25 caracteres,   formatada como "XXXXX-XXXXX-XXXXX-XXXXX-XXXXX", que a Microsoft fornece para ativar uma única cópia do Windows em um computador. A chave do produto de ativação do Windows 10 é essencial se você deseja atualizar ou instalar o sistema de forma limpa. No entanto, muitos usuários não têm ideia de onde a chave está armazenada. Esse artigo vai ajudar a encontra-la. Vamos lá !! Primeiro, pressione a tecla Windows, procure por "cmd" e clique em "Run as administrator" (Executar como administrador, em português): Em seguida, execute o comando abaixo: wmic path softwarelicensingservice get OA3xOriginalProductKey Ou execute o comando em powershell: powershell "(Get-WmiObject -query ‘select * from SoftwareLicensingSer...
Postar um comentário
Leia mais »