Как защитить систему от атак с использованием Kerberos TGT?

Несколько рекомендаций, которые помогут защитить систему от атак с использованием Kerberos TGT:

• Мониторинг активности билетов Kerberos. www.semperis.com Регулярное изучение свойств и способов использования билетов позволяет выявлять аномалии, которые могут указывать на атаку. www.semperis.com Например, нужно обращать внимание на билеты с необычно долгим сроком действия или дающие неожиданные привилегии. www.semperis.com
• Аудит Active Directory и системных логов. www.semperis.com Необходимо регулярно проверять Active Directory и системные логи на подозрительную активность. www.semperis.com
• Использование инструментов безопасности конечных точек. www.semperis.com Такие инструменты, как платформы защиты конечных точек (EPP) и EDR, идентифицируют и блокируют сигнатуры вредоносных инструментов. www.semperis.com
• Управление паролем учётной записи KRBTGT. www.semperis.com Рекомендуется менять пароль учётной записи дважды подряд, чтобы Kerberos не мог использовать украденные хэши для создания поддельных билетов. www.semperis.com
• Применение принципа минимальных привилегий. www.semperis.com Нужно ограничивать права пользователей и систем только тем, что необходимо для выполнения их роли или функции. www.semperis.com
• Использование специальных решений. www.semperis.com Такие решения используют алгоритмы и распознавание шаблонов, чтобы выявлять использование поддельных билетов в сети. www.semperis.com
• Создание резервной копии Active Directory. www.semperis.com Резервная копия должна быть отделена от операционной системы, чтобы можно было восстановить Active Directory в случае необходимости. www.semperis.com

Для эффективной защиты от атак с использованием Kerberos TGT также рекомендуется использовать трафик в качестве сборщика информации и реализовать таблицу TGT-билетов, чтобы отслеживать как выпущенные билеты, так и попытки использовать нелегитимные TGT-билеты. habr.com