Cambio de la contraseña de la cuenta de Active Directory krbtgt
La cuenta de usuario Krbtgt se crea automáticamente cuando promueve un nuevo dominio de Active Directory. Sin embargo, muchos administradores de AD no tienen suficiente conocimiento de esta cuenta, lo cual es muy importante desde el punto de vista de la seguridad y de toda la operación del dominio. Intentemos arreglarlo!
La cuenta krbtgt con RID 502 se crea en el contenedor de Usuarios cuando se instala el primer controlador de dominio. Esta cuenta se deshabilita y se agrega sólo a dos grupos de seguridad AD : Usuarios del dominio y Grupo de Replicación de Contraseñas RODC denegadas. No se puede cambiar el nombre de esta cuenta, habilitarla o eliminarla. Esta cuenta es clave para el funcionamiento de los servicios KDC y Kerberos en el dominio AD.
El servicio KDC (Centro de distribución Kerberos) se ejecuta en cada controlador de dominio AD, que procesa todas las solicitudes de tickets Kerberos. Para crear una clave secreta que se utiliza para cifrar y descifrar los tickets TGT (emitidos por todos los KDC del dominio), se utiliza la contraseña de la cuenta krbtgt.
En la mayoría de los casos, la contraseña de la cuenta krbtgt no cambia desde el momento del despliegue de AD y si el hash de esta contraseña cae en manos de un hacker (por ejemplo, utilizando mimikatz o utilidades similares), puede crear su propio Golden Ticket Kerberos, pasando por alto el KDC y autenticándose ante cualquier servicio del dominio AD utilizando Kerberos.
Nota . El hash de la contraseña de la cuenta krbtgt no se almacena en los controladores de dominio de sólo lectura (RODC), ya que cada RODC tiene su propia cuenta krbtgt.
En nuestro ejemplo, se puede ver que la contraseña krbtgt no ha cambiado desde la creación del dominio AD.
Por razones de seguridad y para contrarrestar un ataque del tipo Golden Ticket Attack, es necesario cambiar periódicamente la contraseña de la cuenta de dominio krbtgt (una vez al año y cuando cualquier administrador de dominio abandona su empresa). Es necesario cambiar la contraseña dos veces (con un retraso suficiente para realizar la replicación en todo el dominio), porque la contraseña actual y la anterior de la cuenta krbtgt se almacenan en el dominio. Incluso si los atacantes emitieron el Boleto Dorado con un largo período de validez, después de cambiar la contraseña krbtgt, este boleto se volverá inútil.
Nota . Cuando se eleva el nivel funcional del dominio (por ejemplo, de Windows Server 2012 R2 a Windows Server 2016), la contraseña de la cuenta krbtgt cambia automáticamente.
Puede cambiar la contraseña krbtgt como para cualquier usuario normal a través del ADUC snap-in (Restablecer contraseña), o puede usar un script PowerShell listo
Si realiza un segundo cambio de la contraseña de la cuenta krbtgt durante los retrasos de la replicación, puede que tenga problemas con algunos servicios de dominio (por ejemplo, Exchange). Para minimizar los riesgos después de cambiar la contraseña krbtgt, debe reiniciar el servicio Kerberos Key Distribution Center en todos los controladores de dominio manualmente a través de la consola services.msc (seleccione el servicio Kerberos Key Distribution y haga clic en “Restart”).
