A privileged account is configured with an SPN

Bu uyarı veya tespit, ortamda bir yetkili (privileged) Active Directory hesabının (örneğin Domain Admin, Enterprise Admin, vs.) üzerine Service Principal Name (SPN) tanımlandığını gösterir.

SPN’ler, Kerberos kimlik doğrulaması için kullanılır. Ancak:

Hesap üzerine tanımlanan SPN’ler, o hesaba yönelik Kerberoasting saldırılarını mümkün hale getirir.

Saldırgan, SPN tanımlı hesabın Kerberos ticket’ini (TGS) isteyebilir

Bu ticket offline brute-force ile parola hash’ine dönüştürülür

Eğer hesap privileged ise, ele geçirilirse tüm domain riske girer

Tüm SPN’li ve Yetkili Hesapları Listelemek için;

$privGroups = @(“Domain Admins”,”Enterprise Admins”,”Administrators”,”Backup Operators”)
foreach ($group in $privGroups) {
Get-ADGroupMember -Identity $group -Recursive | Where-Object { $_.objectClass -eq “user” } | ForEach-Object {
Get-ADUser $_ -Properties ServicePrincipalName | Where-Object { $_.ServicePrincipalName } | Select-Object Name, SamAccountName, ServicePrincipalName
}
}