Microsoft 的指南可帮助缓解 Kerberoasting

news2025/2/24 3:42:31

随着网络威胁不断演变，安全专业人员必须了解最新的攻击媒介和防御机制。

Kerberoasting是一种众所周知的 Active Directory (AD) 攻击媒介，由于使用 GPU 加速密码破解技术，其有效性正在不断提高。

由于 Kerberoasting 可让网络威胁者窃取凭据并快速浏览设备和网络，因此管理员必须采取措施减少潜在的网络攻击面。

本博客介绍了 Kerberoasting 风险，并提供了管理员可以立即采取的建议措施，以帮助防止 Kerberoasting 网络攻击得逞。

什么是 Kerberoasting？

Kerberoasting 是一种针对 Kerberos 身份验证协议的网络攻击，目的是窃取 AD 凭据。

Kerberos 协议以一种称为服务票证的消息形式传达用户身份验证状态，该消息使用从帐户密码派生的密钥进行加密。拥有 AD 凭据的用户可以向 AD 中的任何服务帐户请求票证。

在 Kerberoasting 网络攻击中，已接管 AD 用户帐户的威胁行为者将请求其他帐户的票证，然后执行离线暴力攻击以猜测和窃取帐户密码。

一旦网络威胁行为者获得服务帐户的凭据，他们就有可能在环境中获得更多特权。

AD 仅为已注册服务主体名称 (SPN) 的帐户颁发和加密服务票证。SPN 表示帐户是服务帐户，而不是普通用户帐户，并且应该使用它来托管或运行服务，例如 SQL Server。

由于 Kerberoasting 需要访问加密的服务票证，因此它只能针对在 AD 中具有 SPN 的帐户。

SPN 通常不分配给普通用户帐户，这意味着它们可以更好地抵御 Kerberoasting。作为 AD 机器帐户而不是独立服务帐户运行的服务可以更好地抵御 Kerberoasting 攻击。

AD 机器帐户凭据很长且随机生成，因此它们包含足够的熵，使暴力网络攻击变得不切实际。

最容易受到 Kerberoasting 攻击的账户是那些密码较弱的账户和那些使用较弱加密算法（尤其是 RC4）的账户。RC4 更容易受到网络攻击，因为它在将密码转换为加密密钥时不使用盐或迭代哈希，从而使网络威胁行为者能够快速猜出更多密码。

但是，当使用弱密码时，其他加密算法仍然容易受到攻击。虽然 AD 默认不会尝试使用 RC4，但 RC4 目前默认启用，这意味着网络威胁行为者可以尝试请求使用 RC4 加密的票证。RC4 将被弃用，我们打算在 Windows 11 24H2 和 Windows Server 2025 的未来更新中默认禁用它。

Kerberoasting 有哪些风险？

Kerberoasting 是一种低技术、高影响的攻击。有许多开源工具可用于查询潜在目标帐户，获取这些帐户的服务票证，然后使用暴力破解技术离线获取帐户密码。

这种类型的密码窃取有助于威胁行为者冒充合法服务帐户，并继续在网络和机器中纵向和横向移动。

Kerberoasting 通常针对高权限帐户，这些帐户可用于各种攻击，例如快速将勒索软件等恶意负载分发到网络内的其他最终用户设备和服务。

没有 SPN 的帐户（例如标准用户或管理员帐户）容易受到类似的暴力密码猜测攻击，以下建议也适用于它们以降低风险。

如何检测 Kerberoasting？

管理员可以使用下面描述的技术来检测其网络中的 Kerberoasting 网络攻击。

检查具有不寻常 Kerberos 加密类型的票证请求。网络威胁行为者可以将 Kerberos 票证加密降级为 RC4，因为破解它的速度要快得多。管理员可以检查Microsoft Defender XDR中的事件，并根据票证加密类型过滤结果，以检查较弱的加密类型使用情况。

检查来自 Microsoft Defender 的警报。Microsoft Defender XDR将针对疑似 Kerberos SPN 暴露发出外部 ID为 2410 的警报。

检查重复的服务票证请求。检查单个用户是否在短时间内为易受 Kerberoasting 攻击的帐户请求多个服务票证。

帮助防止 Kerberoasting 得逞的建议

Microsoft 建议 IT 管理员采取以下步骤来帮助强化其环境以抵御 Kerberoasting：

尽可能使用组托管服务帐户（gMSA）或委派托管服务帐户（dMSA）：
- 这些帐户非常适合需要集中凭据管理和增强安全性以防范基于凭据的攻击的多服务器应用程序，例如 IIS、SQL Server 或在加入域的环境中运行的其他 Windows 服务。
- 组托管服务帐户 (gMSA)是一种 Active Directory 帐户类型，允许多个服务器或服务使用同一个帐户，并具有自动密码管理和简化的 SPN 处理功能。gMSA 的密码长度为 120 个字符，复杂且随机生成，因此对使用当前已知方法进行的暴力网络攻击具有很强的抵抗力。
- 委托托管服务帐户 (dMSA)是 Windows Server 2025 上可用的托管服务帐户的最新版本。与 gMSA 一样，它们限制哪些机器可以使用这些帐户，并提供相同的密码缓解措施来防止 Keberoasting。但是，与 gMSA 不同的是，dMSA 具有支持将具有密码的独立服务帐户无缝迁移到 dMSA 帐户类型的额外优势。它们还可以选择与 Credential Guard 集成，这样即使使用 dMSA 的服务器受到攻击，服务帐户凭据仍会受到保护。
如果客户无法使用 gMSA 或 dMSA，则手动为服务帐户设置随机生成的长密码：
- 服务帐户管理员应至少保留 14 个字符的密码。如果可能，我们建议为服务帐户设置更长的密码并随机生成密码，这将提供更好的 Kerberoasting 保护。此建议也适用于普通用户帐户。
- 禁止使用常用密码并审核服务帐户的密码，以便对具有弱密码的帐户进行清查并进行补救。

确保所有服务帐户都配置为使用 AES（128 和 256 位）进行 Kerberos 服务票证加密：
- 将服务帐号的加密类型更新为高级加密标准 (AES) 后，请更改帐号密码，确保密码使用 AES 加密。如果在更新加密类型后不更改密码，帐号可能仍然容易受到 Kerberoasting 攻击。单独使用 AES 不是暴力破解的解决方案，需要与强密码结合使用。即使使用 AES 进行加密，弱密码仍然可能被暴力破解。
- 在 Windows 11 24H2 和 Windows Server 2025 的未来更新中，我们打算默认禁用 RC4 加密。我们建议在没有这些更新的环境中手动禁用服务帐户上的 RC4 加密类型。
- 有关配置加密类型的更多信息，请访问：Active Directory 强化系列 - 第 4 部分 - 为 Kerberos 强制实施 AES - Microsoft Community Hub、网络安全配置允许用于 Kerberos 的加密类型 - Windows 10 | Microsoft Learn，以及解密支持的 Kerberos 加密类型的选择 - Microsoft Community Hub
审核具有 SPN 的用户帐户：
- 应审核具有 SPN 的用户帐户。应从不需要的帐户中删除 SPN，以减少网络攻击面。

Kerberoasting 对 Active Directory 环境构成威胁，因为它能够利用弱密码并未经授权访问服务帐户。

通过了解 Kerberoasting 的工作原理并实施本博客中分享的推荐指南，组织可以显著降低 Kerberoasting 的风险。

我们坚信安全是团队共同努力的结果。通过与原始设备制造商 (OEM)、应用开发商和生态系统中的其他人合作，以及帮助人们更好地保护自己，我们正在提供设计更安全、默认更安全的 Windows 体验。

Windows安全手册可帮助您详细了解如何让用户轻松使用 Windows 保持安全。

在 Windows 安全书中了解更多信息