特權帳戶執行 Kerberos 服務

2014 年，一種名為 Kerberoast 的新型攻擊可利用 Kerberos 驗證通訊協定的內部機制來鎖定特權網域使用者帳戶。攻擊者的目標為探索帳戶的純文字密碼，進而取得相關權限。
此攻擊可能會在使用簡易、非特權使用者帳戶的 Active Directory 環境內部發生。若在帳戶上設定特定的 Active Directory 屬性 (servicePrincipalName)，這會影響到此帳戶的底層安全性。攻擊者可猜測此帳戶的密碼，傳統的安全機制會在經過數次密碼失敗後鎖定帳戶，但其無法防止針對密碼發動的密集攻擊。
某些高特權帳戶通常會成為攻擊對象 (例如「網域管理員」群組使用者)。這些帳戶可能會導致整個網域極為快速地遭受入侵，因此應保護其不受此 Kerberos 設定威脅侵擾。
Kerberoasting​ 攻擊指標可在攻擊者試圖利用此弱點時警示資安人員。不過，您仍必須修正底層問題來保護最高特權帳戶，因為其可能會導致整個網域快速遭到入侵。

特權帳戶不應具有 Service Principal Name。

名稱: 特權帳戶執行 Kerberos 服務

代碼名稱: C-PRIV-ACCOUNTS-SPN

嚴重性: Critical