如何加強 Active Directory 抵禦 Kerberoasting 攻擊
Kerberoasting 是 Microsoft Active Directory 的常見攻擊,攻擊者可以利用該攻擊入侵服務帳戶,且偵測風險較低。由於該攻擊會操縱合法帳戶,因此效果極佳。然而,強大的密碼安全機制可以有效阻止犯罪分子的攻擊。
Kerberoasting的名字來自“Kerberos”,這是 Active Directory 中使用的身份驗證協議,用於驗證使用者的身份或請求訪問資源的電腦的身份。
Kerberoasting 攻擊背景與原理
Kerberoasting 利用正常的 Kerberos 認證流程,即使合法使用者也能向 Kerberos Key Distribution Center(KDC)申請服務票(TGS),該票據是使用與服務帳號密碼衍生的散列值進行加密。攻擊者擷取此票據,帶離 AD 環境後可離線暴力破解密碼,進而取得服務帳號控制權,並用其特權進行橫向移動或資料竊取 。此類攻擊特點包括:
任意域使用者皆可請求服務票,不需域管理員權限。
破解過程離線完成,傳統防毒軟體與網路監控無法觸發警示。
攻擊影響與風險
根據 IBM X‑Force 報告,Kerberoasting 攻擊在 2022 至 2023 年激增 100%,已成 Active Directory 網路攻擊中的常見技術 。若攻擊成功,取得的服務帳號常具有高權限,例如 SQL Server 或文件共享服務帳號,將使攻擊者得以部署勒索軟體、設定持久後門或竊取機敏資料。
防禦與強化建議
BleepingComputer 的文章由 Specops 提出五大防禦措施:
強韌的 SPN 帳號密碼
為所有具 Service Principal Name(SPN)的帳號設定至少 25 字元以上的隨機複雜密碼,防止暴力破解。
使用 AES 加密 Kerberos 票據
將 Kerberos 票據加密方案設定為 AES256,避免 RC4 洩密風險,可透過群組原則設定推送至所有域控制器 。
縮小 SPN 範圍
定期檢查並刪除不必要的 SPN,移轉至群組管理服務帳號(gMSA)以自動管理密碼與減少人為錯誤。
降低服務帳號特權
嚴格遵循最小權限原則,不讓服務帳號成為高階管理員,同時避免未受限的委派與層級突破 。
監控異常 Kerberos 使用行為
使用 SIEM 或 AD 日誌監控,設定警示以偵測異常服務票申請行為(例如,同一 SPN 被大量請求),並整合下一代端點防護技術以即時攔截可疑活動 。
此外,CrowdStrike 建議建立完整的身份安全戰略,強化密碼管理(≥14 字含大小寫與特殊字元)、推行 MFA、識別並移除人員 SPN、採用 gMSA,以及監控過度頻繁的 TGS 請求 。
NCC Group 建議:
密碼最少 25 字並定期更換
禁用 RC4 加密
將高價值帳號納入 Protected Users 群組
使用受限委派以取代傳統委派 。
Microsoft 官方亦指出,隨 Windows Server 2025 和 Windows 11 24H2 推出新版 Brave OS 版本將默認禁用 RC4,進一步強化加密強度 。
實務建議與行動計畫
建議管理者依循以下步驟逐步強化:
第一階段:盤點 SPN 帳號,檢查其密碼長度與加密方式。立即更新弱帳號密碼並禁用 RC4。
第二階段:移轉至 gMSA,並刪除不必要 SPN,建立帳號委派與權限最小化策略。
第三階段:部署具識別 Kerberos 異常行為的 SIEM 與端點防禦技術,設定服務票申請頻率警示機制。
- 第四階段:定期進行 AD 安全審查(如密碼審計、SPN 盤點、帳號特權評估),並結合安全意識教育提升組織防禦能力。
Specops 密碼稽核器 是一款唯讀工具,可主動掃描 Active Directory 環境中的弱密碼、重複使用密碼和外洩密碼。它有助於審計網域中的服務帳戶的密碼安全性,並協助查看具有管理員權限的服務帳戶。
資料來源:https://www.bleepingcomputer.com/news/security/how-to-harden-your-active-directory-against-kerberoasting/