Учётная запись KRBTGT
Учётная запись KRBTGT — это встроенная учётная запись службы каталогов Active Directory (AD) от компании Microsoft, которая используется службой распространения ключей Kerberos (KDC) для шифрования и подписи билетов, выдаваемых клиентам в рамках протокола аутентификации Kerberos. Данная учётная запись является критическим компонентом безопасности домена Windows, так как её компрометация позволяет злоумышленнику получить неограниченный доступ ко всем ресурсам домена.
Назначение и роль в протоколе Kerberos
Протокол Kerberos версии 5, реализованный в Active Directory, использует симметричную криптографию для аутентификации пользователей и служб. В основе этого протокола лежит концепция билетов — зашифрованных сообщений, которые подтверждают личность запрашивающей стороны.
Учётная запись KRBTGT выполняет две ключевые функции:
- Шифрование билетов предоставления билетов (TGT — Ticket Granting Ticket). Когда пользователь проходит начальную аутентификацию (вводит пароль или использует смарт-карту), служба KDC создаёт TGT. Этот билет шифруется с использованием хеша пароля учётной записи KRBTGT. Только KDC, зная этот хеш, может расшифровать TGT и проверить его подлинность при последующих запросах.
- Подпись и шифрование сессионных ключей. Внутри TGT содержится сессионный ключ, который будет использоваться для дальнейшего взаимодействия между клиентом и KDC. Этот ключ также защищается паролем KRBTGT.
Таким образом, учётная запись KRBTGT является «корневым» доверенным элементом для всего домена. Без знания её пароля (точнее, хеша пароля, который никогда не хранится в открытом виде) невозможно подделать или расшифровать TGT, что делает атаки на подделку билетов крайне сложными при условии сохранности этого секрета.
Устройство и характеристики
Имя учётной записи
Учётная запись имеет фиксированное имя — krbtgt. В оснастке «Active Directory — пользователи и компьютеры» она отображается как KRBTGT (сокращение от Kerberos Ticket Granting Ticket). Она является встроенной и не может быть удалена или переименована стандартными средствами.
Тип и атрибуты
- Тип: Учётная запись пользователя (User). Однако она не является обычной учётной записью пользователя. Её пароль никогда не используется для интерактивного входа в систему.
- Атрибут userAccountControl: Установлен флаг
ACCOUNTDISABLE(учётная запись отключена). Это означает, что она не может использоваться для входа в систему, но это не мешает KDC использовать её хеш пароля для криптографических операций. - Пароль: Пароль учётной записи KRBTGT генерируется автоматически при создании домена (первым контроллером домена). Он представляет собой длинную случайную строку, которая хранится в базе данных Active Directory в виде хеша (NTLM-хеш и хеш для Kerberos). Пароль никогда не выводится на экран и не доступен администратору через стандартные интерфейсы.
Смена пароля
Пароль учётной записи KRBTGT меняется только в двух случаях:
- При создании нового домена.
- Принудительно администратором (например, после компрометации домена или в рамках плановой ротации ключей).
Смена пароля KRBTGT — это сложная операция, которая может вызвать временные проблемы с аутентификацией для всех пользователей и служб, так как все существующие TGT, зашифрованные старым паролем, станут недействительными. В Active Directory пароль KRBTGT хранится в двух версиях: текущей и предыдущей. Это позволяет системе обрабатывать билеты, выданные до смены пароля, в течение некоторого времени (обычно до истечения срока действия старого TGT).
Уязвимости и атаки
Учётная запись KRBTGT является главной целью для злоумышленников, получивших доступ к контроллеру домена с правами администратора. Наиболее известные атаки, связанные с ней:
Атака Golden Ticket (Золотой билет)
Это классическая атака, при которой злоумышленник, получив хеш пароля KRBTGT (например, через дамп памяти процесса LSASS на контроллере домена), может создать собственный, произвольный TGT. Этот «золотой билет» может быть подписан с использованием украденного хеша и предоставлять доступ к любым ресурсам домена от имени любого пользователя, включая встроенную учётную запись администратора домена.
Ключевые особенности атаки:
- Не требует сетевого взаимодействия с KDC. Злоумышленник создаёт билет локально на своей машине.
- Действует до следующей смены пароля KRBTGT. Если пароль не менялся, «золотой билет» остаётся действительным годами.
- Позволяет обходить все политики учётных записей. Например, даже если учётная запись администратора отключена, «золотой билет» от её имени всё равно будет работать, так как KDC не проверяет статус учётной записи при проверке TGT.
Атака Silver Ticket (Серебряный билет)
Эта атака является более узкой. Вместо подделки TGT злоумышленник подделывает билет службы (ST — Service Ticket), который выдаётся для доступа к конкретному ресурсу (например, к файловому серверу или базе данных). Для этого требуется хеш пароля учётной записи самой службы, а не KRBTGT. Однако, если злоумышленник уже имеет доступ к контроллеру домена, он может получить хеш любой учётной записи, включая KRBTGT, что делает «серебряный билет» менее приоритетной целью по сравнению с «золотым».
Атака DCSync
Атака DCSync позволяет злоумышленнику, имеющему права на репликацию данных в Active Directory (обычно это права администратора домена или контроллера домена), имитировать поведение другого контроллера домена и запрашивать хеши паролей всех учётных записей, включая KRBTGT. Это один из самых распространённых способов получения хеша KRBTGT.
Защита и рекомендации
Для минимизации рисков, связанных с учётной записью KRBTGT, Microsoft и эксперты по безопасности рекомендуют следующие меры:
- Регулярная смена пароля KRBTGT. Рекомендуется менять пароль не реже одного раза в год, а также немедленно после любого инцидента, связанного с компрометацией контроллера домена. Для этого существуют специальные скрипты (например, от Microsoft или сообщества), которые выполняют смену пароля дважды с интервалом, достаточным для истечения всех старых TGT.
- Мониторинг событий безопасности. Необходимо отслеживать события, связанные с попытками доступа к хешу KRBTGT (например, события 4662 — операция над объектом, и 4742 — изменение учётной записи компьютера). Также следует мониторить аномальное использование учётной записи KRBTGT (например, создание большого количества TGT за короткий промежуток времени).
- Минимизация прав администраторов. Чем меньше учётных записей имеют права администратора домена, тем сложнее злоумышленнику получить доступ к хешу KRBTGT.
- Использование решения для защиты от атак на Active Directory. Специализированные программные комплексы (например, Microsoft Defender for Identity, а также сторонние решения) могут обнаруживать аномалии, связанные с использованием учётной записи KRBTGT, в том числе атаки Golden Ticket.
- Внедрение принципа наименьших привилегий. Учётные записи служб и пользователей должны иметь минимально необходимые права, чтобы снизить потенциальный ущерб от компрометации.
Заключение
Учётная запись KRBTGT является фундаментальным элементом безопасности домена Active Directory. Её пароль представляет собой «ключ от всех дверей» в инфраструктуре Windows. Понимание её роли, уязвимостей и методов защиты является обязательным для любого администратора и специалиста по информационной безопасности, работающего с Windows-средами. Компрометация этой учётной записи практически гарантирует полный захват контроля над доменом злоумышленником, поэтому её защита должна быть приоритетной задачей.
Источники
- Microsoft Docs. «Kerberos Authentication Overview».
- Microsoft Docs. «KRBTGT Account».
- Sean Metcalf (Trimarc). «Kerberos & KRBTGT: The Active Directory Domain Controller’s Best Friend».
- MIT Kerberos Consortium. «The Kerberos Network Authentication Service (V5)».
- Benjamin Delpy (GentilKiwi). «Mimikatz: Golden Ticket».
- Microsoft Security Blog. «Best practices for securing Active Directory».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →