Kerberos ist ein auf Tickets basierte Autorisierungstechnologie.
Sie wurde vom MIT entwickelt und wird seit Windows 2000 von Microsoft in Windows eingesetzt.
kurz erklärt
Anstatt eine Autorisierung bei jedem Zugriff bei einer Vertrauensstelle zu überprüfen wird ein Ticket mit den Berechtigungen für eine begrenzte Dauer (10 Stunden) ausgestellt. In der realen Welt kann man es mit einem Pass vergleichen. Die Regierung (die Vertrauensstelle) stellt einem Bürger einen Pass (das Ticket) aus. Dieser Pass, sagt aus wer man ist und berechtigt einem ein anderes Land zu besuchen.
Bei einer Windows Authentifizierung eines Benutzers fordert der Client ein sogenanntes Ticket Granting Ticket (TGT) vom KDC des Domain Controller an. Der KDC überprüft die Anmeldeinformationen des Benutzers und sendet dann das Ticket verschlüsselt zurück. Verschlüsselt wird es dabei mit dem Kennwort des AD Users krbtgt. Es folgen danach noch weitere Schritte bis man am Ende einen Session Key erhält. Ich möchte darauf aber nicht näher eingehen. Details wie Kerberos im Detail funktioniert findet man hier.
Risiko
Hat ein Angreifer Zugriff auf den Domaincontroller (über Backups/Snapshots, VM Files, Kennwort eines Administrators ,…) kann dieser sich mit dem Tool Mimikatz selbst Tickets eines Domain-Administrators ausstellen. Diesen Angriff nennt man Golden Ticket. Damit hat der Angreifer Zugriff auf die gesamte Intrastruktur. Wirklich erkennen kann man so ein ausgestelltes Ticket nicht da keine weiter Prüfung mehr stattfindet.
Risikominimierung
Um mögliche Golden Tickets unbrauchbar zu machen sollte man in regelmäßigen Abständen das Kennwort des „krbtgt“ Benutzers ändern. Ausgestellte Tickets verlieren aber erst die Gültigkeit, wenn das Kennwort 2x geändert wurde.
VORISCHT: Ändert man das Kennwort 2x hintereinander, innerhalb von 10 Stunden, werden alle ausgestellten Tickets unbrauchbar. d.H. jeder Server/Client muss einmal neugestartet werden.
Um hier keine Fehler zu begehen empfielt es sich dafür ein Script von Microsoft zu verwenden. Dieses weist einen auf mögliche Komplikationen hin.
Links
https://blog.varonis.de/wie-funktioniert-die-kerberos-authentifizierung/
https://www.microsoft.com/security/blog/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/
https://adsecurity.org/?page_id=1821
