Was ist Kerberoasting?
Kerberoasting ist eine Angriffstechnik, um Account-Passwörter zu stehlen. Der Angriff ahmt ein AD-Konto mit einem ServicePrincipalName (SPN) nach, und forder ein Kerberos-Ticket (TGS) an. Dieses Ticket enthält das verschlüsselte Passwort des Kontos, welche die Angreifer dann versuchen offline mit Brute-Force zu entschlüsseln.
Wie schütze ich mich?
✅ Überblick schaffen
Identifizieren und überwachen von Konten mit ServicePrincipalName – nur diese können angegriffen werden.
✅ Starke Passwörter erzwingen
Besitzt das Konto ein starkes Passwort, ist es beinahe unmöglich für Angreifer, das Passwort zu knacken.
Starke Passwörter sind komplex (25+ Zeichen), zufällig (keine Wörter, Zahlenreihenfolgen …) und werden regelmäßig geändert (alle 30 Tage).
✅ Reduzierung von Privilegien
Privilegierte Benutzer sollten nie SPNs besitzen, da diese sonst anfällig für Kerberoasting sind
✅ Migration auf gMSA
Wenn möglich, sollten Dienstkosten auf die AD-verwalteten Dienstkosten migriert werden.
Eine einfache Möglichkeit durch Kerberoasting gefährdete Konten zu entdecken und zu überwachen bietet unser AD-Security-Monitoring:
👉 https://sec-auditor.com/funktionen/monitoring/