Salut tout le monde,
 
 
Suite à un audit de mon AD via PingCastle, j'ai un soucis de Golden ticket. J'ai donc télécharger le script sur le site de MS pour modifier le mot de passe du compte KRBTGT.
Sur 6 de mes AD pas de soucis, par contre j'en ai deux, impossible j'ai un failed (et il y a pas de log du pourquoi). Alors que la synchro des users, mdp etc... est bien ok sur ces deux DC.
 
Avez-vous une idée ou piste ?
 
Très bonne journée à vous tous,

Avant de faire n'importe quoi, tu as pu avoir des détails sur le souci en question ? Et j'espère que tu as des backup

Pour ceux comme moi qui ne connaissent pas le "golden ticket" :
"Le Golden Ticket est le jeton d’authentification associé au compte KRBTG ;  
un compte caché spécial dont la mission est de chiffrer tous les jetons d’authentification pour le DC.  
Ce Golden Ticket peut ensuite utiliser une technique de « Pass-the-hash » pour se connecter à n’importe quel compte,  
ce qui permet aux pirates de se balader incognito sur le réseau."
https://blog.varonis.fr/attaque-ker [...] en-ticket/
 
Ca vaut vraiment le coup de s'embêter à corriger cela ?
Je vois que c'est fastidieux à mettre en place (le hack) et qu'il faut posséder un compte ayant des privilèges élevés avec un accès au Contrôleur de domaine.
A ce niveau là, la sécurité est déjà compromise.

Sur le fond oui, c'est une attaque tres puissante et très difficile à détecter et a réparer. Et il n'est pas difficile d'obtenir des privilèges administratives du domaine - il suffit de regarder les comptes de service (en particulier de backup) pour obtenir le jackpot dans 99% du temps.
Maintenant si tu bosses dans une PME tu as bien d'autres soucis à gérer.
Et si tu fais n'importe quoi avec ce compte, tu petes ton domaine. C'est pas une opération à confier à un admin débutant.