Kerberoasting in onze AD, hoe groot is het risico?

Kerberoasting is een aanval die offline Kerberos-tickets kraakt om service-account-wachtwoorden te krijgen. Werkt vooral op accounts met zwakke wachtwoorden en SPN's. Voor MKB met on-prem AD en oude service-accounts is het een reeel risico, voor cloud-only-Microsoft-365 niet.

Probeer dit eerst zelf

1. 1Inventariseer service-accounts met SPN's: Get-ADUser -Filter {ServicePrincipalName -ne $null} -Properties ServicePrincipalName, PasswordLastSet. Account die ouder zijn dan twee jaar en niet group-managed zijn, zijn de risico's.
2. 2Wachtwoorden van service-accounts roteren naar minimaal 25 tekens random, of beter: vervang door Group Managed Service Accounts (gMSA) die door AD zelf worden beheerd en automatisch roteren.
3. 3Activeer Defender for Identity (vroeger ATA) op de domain controllers. Die ziet kerberoast-pogingen direct (kan vanaf TGS-REQ patronen).
4. 4Beperk welke accounts kunnen leesrechten op SPN-attributen. Standaard kan elke gewone gebruiker een SPN-lookup doen, dat is wat kerberoasting mogelijk maakt.
5. 5Schakel RC4 als Kerberos-encryptie uit waar mogelijk, dwing AES af. RC4-tickets zijn veel sneller te kraken dan AES.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.