What are the security measures to prevent Kerberos tickets from being stolen?

Некоторые меры безопасности, которые помогают предотвратить кражу билетов Kerberos:

• Конфигурация Active Directory. mitre.ptsecurity.com Дважды сбросить встроенный пароль учётной записи KRBTGT. mitre.ptsecurity.com Это аннулирует все существующие золотые билеты, созданные с использованием хеша KRBTGT, а также другие билеты Kerberos, полученные на его основе. mitre.ptsecurity.com По возможности менять пароль учётной записи KRBTGT каждые 180 дней. mitre.ptsecurity.com
• Управление привилегированными учётными записями. mitre.ptsecurity.com Ограничить права учётной записи администратора домена контроллерами домена и ограниченными серверами. mitre.ptsecurity.com Делегировать другие функции администратора отдельным учётным записям. mitre.ptsecurity.com
• Парольные политики. mitre.ptsecurity.com Следить за длиной (в идеале 25+ символов) и сложностью паролей для учётных записей служб, а также за периодическим истечением срока действия паролей. mitre.ptsecurity.com
• Шифрование важной информации. mitre.ptsecurity.com По возможности включить шифрование AES Kerberos (или другой более сильный алгоритм шифрования), а не RC4. mitre.ptsecurity.com
• Аудит. mitre.ptsecurity.com Проследить, чтобы все учётные записи имели предварительную аутентификацию, если это возможно, и провести аудит изменений в настройках. mitre.ptsecurity.com
• Использование Credential Guard. learn.microsoft.com Эта функция защищает хэши паролей NTLM, билеты на предоставление билетов Kerberos (TGT) и учётные данные, хранящиеся приложениями в качестве учётных данных домена. learn.microsoft.com