Некоторые меры безопасности, которые помогают предотвратить кражу билетов Kerberos:

• Конфигурация Active Directory. 1 Дважды сбросить встроенный пароль учётной записи KRBTGT. 1 Это аннулирует все существующие золотые билеты, созданные с использованием хеша KRBTGT, а также другие билеты Kerberos, полученные на его основе. 1 По возможности менять пароль учётной записи KRBTGT каждые 180 дней. 1
• Управление привилегированными учётными записями. 1 Ограничить права учётной записи администратора домена контроллерами домена и ограниченными серверами. 1 Делегировать другие функции администратора отдельным учётным записям. 1
• Парольные политики. 1 Следить за длиной (в идеале 25+ символов) и сложностью паролей для учётных записей служб, а также за периодическим истечением срока действия паролей. 1
• Шифрование важной информации. 1 По возможности включить шифрование AES Kerberos (или другой более сильный алгоритм шифрования), а не RC4. 1
• Аудит. 1 Проследить, чтобы все учётные записи имели предварительную аутентификацию, если это возможно, и провести аудит изменений в настройках. 1
• Использование Credential Guard. 3 Эта функция защищает хэши паролей NTLM, билеты на предоставление билетов Kerberos (TGT) и учётные данные, хранящиеся приложениями в качестве учётных данных домена. 3