Recommandations de Microsoft pour attenuer les attaques Kerberoasting
En resume :
- N’utilisez pas de SPN si vous n’en avez pas besoin
- Utilisez les gMSA et equivalents autant que possible
- Arretez d’utiliser RC4
- Utilisez des mots de passe longs et resistants aux attaques par force brute sur les comptes de service de classe “utilisateur”
- Arretez d’utiliser les SPN si vous n’en avez pas besoin
J’ajouterais : arretez de reutiliser les comptes de service pour plusieurs fonctions. Cela rend le suivi des attaques difficile, complique les changements de mots de passe sans provoquer d’interruptions, et encourage l’utilisation de mots de passe faibles stockes dans Excel.