什么是 KRBTGT 以及为什么要更改密码？ - Microsoft 平台管理 - 博客 - Quest 社区

KRBTGT 是用于 Microsoft 实施 Kerberos（默认的 Microsoft Windows 身份验证协议）的帐户。了解 KRBTGT 帐户的来龙去脉可能意味着拥有安全、合规的网络与让您的组织面临漏洞（这些漏洞可能允许犯罪者冒充身份验证并在您的网络中造成严重破坏）之间的区别。我在今年的 Microsoft Ignite 上与 Microsoft 认证大师 Sean Metcalf 讨论了其中一些问题（您可能已经看过有关 6 AD 安全公共服务公告的相关博客文章）。在这篇博文中，我们将深入探讨 KRBTGT 并回答一些最棘手的 Microsoft 安全问题。

什么是 KRBTGT？

KRBTGT 是创建 Microsoft Active Directory 域时使用的自动创建的默认帐户。其主要目的是将 Kerberos 票证验证为密钥分发中心 (KDC) 帐户。

KRBTGT 是如何运作的？

在希腊神话中，刻耳柏洛斯是一只看守地狱入口的三头犬。

守护网络大门的是一种称为 Kerberos 的三向信任。自 Windows Server 2000 以来，这是并且一直是用于授予对网络应用程序和服务的访问权限的默认 Microsoft Windows 身份验证和授权协议。

具体来说，KRB 表示 Kerberos，TGT 表示 Ticket Granting Ticket。

为了描述 KRBTGT 的工作原理，我将以去电影院为例。我真的很想看我当地剧院再次开始放映的电影《怪物史莱克》。但我不能拿着爆米花走进剧院欣赏演出。我必须经过值得信赖的第三方（售票柜台）的验证，该第三方会验证我的身份，向我的信用卡收费，并为我提供一张在特定时间在特定剧院观看怪物史莱克的门票。

对于想要访问应用程序服务器的用户来说也是如此。他们不能直接登录到该服务器。它们必须首先由受信任的第三方密钥分发中心 (KDC) 进行验证。 KDC 是位于域控制器上的域服务。因此，用户使用其 NTLM 哈希密码向 KDC 身份验证服务器 (AS) 发送请求。一旦他们通过身份验证，KDC 就会向他们发送票证授予票证 (TGT)。

用户（我应该说客户端，因为用户刚刚登录，所有这些都在用户不知情的情况下进行）将 TGT 连同用户想要访问的请求一起发送到 KDC 票证授予服务器 (TGS)。 TGS使用与AS共享的密钥对TGT进行解密。加密的令牌被发送回用户，然后被发送到应用程序服务器。然后，应用程序服务器使用共享的 KRBTGT 哈希密码验证令牌，并在特定时间段（也称为 TTL 或生存时间）内向用户授予对其资源的访问权限（默认时间范围为 10 小时）。

因此，回顾一下，TGT 使我能够访问剧院综合体，而 TGS 使我能够在特定时间在特定剧院观看特定电影。当我拿到门票并决定观看《原始人》时，我的特定门票将不允许我观看该电影，因为我已被授权观看《史莱克》。

KRBTGT 比 NTLM 身份验证更安全吗？

是的。通过 NTLM 身份验证，散列用户密码存储在客户端、DC 和应用程序服务器上，并且应用程序服务器必须直接与 DC 协调以验证访问。它无处不在，拥有 mimikatz 这样的工具的人肯定可以从任何这些位置获取该密码并大肆利用。

使用 KRBTGT，哈希值不会存储在跨多个系统的内存中，这使得盗窃 KRBTGT 密码变得更加困难。为了获得完全不受限制的访问，用户必须获得对 DC 上的 KDC 的访问权限并窃取密码以创建黄金票证（更多内容见下文）。

如何启用我的 KRBTGT 帐户？

你没有启用它。当您构建 Active Directory 时，它就已经存在了。每个 AD 域都有一个关联的 KRBTGT 帐户，用于加密和签署该域的所有 Kerberos 票证。

KRBTGT 帐户应保持禁用状态。启用它没有任何作用。

为什么要更改 KRBTGT 密码？

使用 Kerberos，攻击者窃取用户密码不会走得太远 - 他们只能访问用户可以访问的内容。攻击者想要更多！为了获得更多，他们需要窃取 KRBTGT 帐户的 NTLM 哈希值。这将使他们能够伪造门票。

如果他们想要更多，他们将需要执行金票攻击。这是由法国研究人员和 mimikatz 创造者 Benjamin Delpy 创造的，作为对 Willy Wonka 的金票的致敬。

金票攻击是指犯罪者控制 KRBTGT 帐户，具体来说，他们需要窃取 KRBTGT 帐户的 NTLM 哈希值。这将使攻击者能够冒充身份验证、伪造票据并提升整个环境的访问权限。您可以在本文中找到有关这些攻击的更多详细信息：金票攻击：它们如何工作以及如何防御它们。

谁可以创建金票？

任何人都可以创建伪造的票据。创建授予对整个域的访问权限的黄金票证有点不同。人们必须获取的关键元素是域的 FQDN（完全限定域名）、域的 SID（安全标识符）、您想要访问的帐户的用户名以及 KRBTGT NTLM 哈希。

例子。一张伪造的票不能做任何事。这就像拥有一张伪造的信用卡，但没有正确的帐号。正如信用卡需要关键要素才能被视为合法一样，金票也是如此。

如果任何用户有权访问域中的帐户，则他们可以获得前 3 条信息。 KRBTGT NTLM 哈希需要提升权限才能获取此信息。默认情况下，您将看到“复制全部目录更改”的这些权限（可以在此处找到更多详细信息）。

例子。这是来自 Enterprise Reporter 的 .csv 文件的输出，并使用 PowerBI 进行可视化。通过内置管理员组中的组嵌套，您可以看到有 270 个对象具有此权限，我可以深入查看哪些成员拥有该权限。

查看上面的屏幕截图，我可以看到正在使用 Azure AD Connect，因为它还会将密码哈希的副本发送到 Azure。本地 SharePoint 的旧版本也拥有此权利，如果不再使用本地 SharePoint，则可以将其删除。如果任何个人直接拥有此权限，他们就可以随时获取创建金票所需的信息。

我应该多久更改一次 KRBTGT 密码？

Microsoft 建议定期更新 KRBTGT 帐户的密码； STIG 建议变得更加具体（每 180 天）。但是，看到能够获取 KRBTGT 哈希值的对象数量，您可能会考虑在每次有能力创建金票的人离开组织时更改该密码。如果特权帐户被终止，但用户能够使用在他们仍然“受信任”时生成的票证，则他们可能会对您的环境造成严重破坏。

如果更改 KRBTGT 密码会破坏什么？

请务必记住，在使用 Kerberos 时，KRBTGT 会记住最后两个密码，因为这是传递访问权限的共享秘密。因此，更改一次是好的，但如果您担心网络中存在攻击者，则需要更改两次。但是，在执行此操作之前，您需要了解哪些内容可能会损坏。

在密码可以在 DC 和应用程序服务器之间复制之前，快速成功地重置 KRBTGT 密码两次将中断对服务器的访问。

我们在有关混合 AD 安全最佳实践的 Microsoft Ignite 会议上提出了这个问题。我的共同演讲者、微软认证大师 Sean Metcalf 给出了一个很好的答案：

“我确实听说过快速更改 KRBTGT 密码时会发生不好的事情。当然，立即进行更改的可靠方法是确保复制收敛，以便 Active Directory 域中的所有域控制器都获得该更改，然后在所有域控制器之间更新该更改，以便实现收敛。我们的典型建议是一周更改一次，然后一周后更改，因为 KRBTGT 计算机帐户将拥有当前密码和以前的密码。直到所有的DCS都知道当前的是什么，然后当前的，旧的当前的变成前一个。

那么新的当前就是新的当前。它需要能够知道这些是什么才能打开 Kerberos 票证并实际验证它们。即使在相同的 10 或 12 小时内更改它们，也可能会发生不好的事情，因为已经存在票证，特别是在某些 Unix 设备上，这些设备往往会缓存一些信息，并且会因 KRBTGT 更改得太快而遇到麻烦。我们有一些客户甚至一个月改一次，一个月后又改一次。没关系。它只是应该每年改变两次。 ”

如何检测黄金门票是否正在使用？

金票可能会对您的环境造成严重破坏，因此您需要制定可靠的计划来检测和防御这些攻击。以下是我对检测金票攻击的建议。

• 每 180 天运行一次 Microsoft 的 KRBTGT 帐户密码重置脚本。此脚本有助于重置密码，而不会因在环境中延迟复制新的 KRBTGT 哈希密钥而导致身份验证错误。
• 跟踪具有域管理权限或复制目录更改权限的特权用户和服务帐户。两者都授予发现 AD 中对象的权利。此访问权限用于 DCSync 攻击，以获取 KRBTGT 哈希值并创建黄金票据。
• 通过检查 TTL（生存时间）值对票证进行 IT 审核。 Kerberos 票证默认设置为 10 小时。金票的有效期为 10 年。基本上，你想要寻找任何已经超过其寿命的人。如果 10 小时的窗口对您来说太长，Microsoft 此处提供了一些指导，可以将其更改为 4 小时的窗口，而不会产生太多额外的负担。
• 建立并测试 Active Directory 恢复计划，以防攻击者在遭受攻击后丢弃您的 DC，以混淆其踪迹或发现并修复未经授权的权限升级中的差异。

遵循这些最佳实践以最大限度地提高网络安全性

综合来看，如果您想最大程度地减少有人在您的环境中创建金票并随后伪造票证和提升访问权限的机会，那么牢牢掌握 KRBTGT 域帐户最佳实践是多么重要。 。但是，通过遵循此处列出的一些最佳实践（例如执行 IT 审核、每 180 天运行 Microsoft 的 KRBTGT 帐户密码重置脚本以及重置 KRBTGT 密码两次），您将在强化网络方面保持领先地位未经授权的活动。