Kerberos Hardening
AD Zonder Eeuwige Adminrechten
In netwerkbeveiliging wint structuur van improvisatie: duidelijke paden, minder privileges en expliciete trust-grenzen.
Bij Kerberos Hardening levert privilege-opruiming en trust-hygiene de grootste reductie van impact op.
Zo beperk je niet alleen de kans op incidenten, maar vooral ook de omvang en duur als er iets misgaat.
Directe maatregelen (15 minuten)
Waarom dit telt
De kern van Kerberos Hardening is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.
Verdediging: Kerberos Hardenen
Bescherming tegen Kerberoasting en AS-REP Roasting
| Maatregel | Implementatie | Effect |
|---|---|---|
| Sterke wachtwoorden voor service accounts | Minimaal 25+ tekens, random | Kraken wordt onhaalbaar |
| gMSA (Group Managed Service Accounts) | Automatisch wachtwoord-management | 120+ teken wachtwoorden, auto-rotatie |
| AES-only Kerberos | RC4 uitschakelen via GPO | Vertraagt kraken (AES is zwaarder) |
Beperken van delegation-risico’s
| Maatregel | Implementatie | Effect |
|---|---|---|
| Protected Users groep | Gevoelige accounts toevoegen | Voorkomt delegation |
| Account is sensitive | NOT_DELEGATED flag zetten |
Per-account delegation blokkade |
| Machine Account Quota = 0 | ms-DS-MachineAccountQuota naar 0 |
Blokkeert RBCD fake account |
| Unconstrained Delegation verwijderen | Overstappen naar Constrained of RBCD | Voorkomt TGT-harvesting |
| Print Spooler uitschakelen | Op Domain Controllers | Blokkeert Printer Bug |
Tegen Ticket Forgery
| Maatregel | Implementatie | Effect |
|---|---|---|
| krbtgt wachtwoord roteren | Regelmatig (en 2x bij incident) | Invalideert Golden/Diamond Tickets |
| PAC validation | Inschakelen op services | Detecteert vervalste PACs |
| Credential Guard | Op alle endpoints | Beschermt cached credentials |
| AES-only encryptie | RC4 uitschakelen | Verscherpt encryptie-vereisten |
| Korte ticket lifetimes | Maximale TGT lifetime verkorten | Beperkt bruikbaarheid van gestolen tickets |
Monitoring
Essentiële Event IDs voor Kerberos-detectie:
| Event ID | Bron | Wat het detecteert |
|---|---|---|
| 4768 | DC Security Log | AS-REQ (TGT aanvraag) |
| 4769 | DC Security Log | TGS-REQ (Service Ticket aanvraag) |
| 4770 | DC Security Log | TGT renewal |
| 4771 | DC Security Log | Kerberos pre-auth failure |
| 4624 | Target Security Log | Logon event (Type 3 = network) |
| 5136 | DC Security Log | Directory Service Changes (ACL) |
Detectie-patronen:
Let op: Veel van deze detecties vereisen geavanceerde SIEM-correlatie. Een enkel event is zelden verdacht – het is het patroon dat de aanval verraadt. En patronen herkennen vereist dat je weet waarnaar je zoekt.
Het cynische slotwoord
“Kerberos. Een protocol uit 1988. Negentienhonderdachtentachtig! Reagan was president, de Berlijnse Muur stond er nog, en niemand had een mobiele telefoon. En dit protocol beschermt vandaag de dag de netwerken van de grootste bedrijven ter wereld.
Is het slecht? Nee, het is briljant. Het probleem is niet het protocol – het probleem zijn de mensen die het implementeren. Het is alsof je een Stradivarius-viool geeft aan iemand die Twinkle Twinkle Little Star speelt. Het instrument is niet het probleem.
Kijk naar Kerberoasting. De bedoeling is dat service accounts sterke wachtwoorden hebben. Maar nee, iemand maakt een account aan met het wachtwoord ‘Winter2019!’ en dat account draait vijf jaar later nog steeds, op een productie-server, met Domain Admin-rechten. Waarom? Omdat niemand verantwoordelijk is. De persoon die het account aanmaakte is vertrokken. De persoon die de server beheert weet niet dat het account bestaat. En de persoon die de beveiliging doet, heeft geen budget om er iets aan te doen.
En dan heb je Unconstrained Delegation. ‘Laten we deze server het recht geven om namens iedereen te handelen. Iedereen. Zonder beperking. Wat kan er misgaan?’ Dat is alsof je een medewerker de creditcard van het bedrijf geeft en zegt: ‘Hier, gebruik hem waarvoor je wilt.’ En drie maanden later vraag je je af waarom er een abonnement is op zes streamingdiensten en een bestelling van driehonderd poolnoodles.
Maar het allermooiste? Het allermooiste is het Golden Ticket. Je steelt een hash – niet eens een wachtwoord, een hash – en je hebt voor altijd toegang tot alles. Niet tot een server. Niet tot een applicatie. Tot alles. En de enige manier om dat te stoppen is een wachtwoord twee keer te resetten dat niemand ooit rechtstreeks gebruikt. Het krbtgt-account. Een account zonder inbox, zonder bureaustoel, zonder kerstpakket – maar met de sleutel tot het hele koninkrijk.
Weet je, in het echte leven zou dit een landelijk schandaal zijn. Stel je voor dat de overheid zegt: ‘Er is een sleutel die alle overheidsgebouwen opent, en als iemand die steelt, kunnen we hem niet veranderen.’ De Tweede Kamer zou ontploffen. Maar in IT? In IT zeggen we: ‘Dat staat op de roadmap voor Q3.’ En Q3 wordt Q4. En Q4 wordt ‘volgend jaar.’ En volgend jaar wordt ‘nooit.’
Kerberos is niet het probleem. Wij zijn het probleem.”
Kerberos Verdedigingsboom
Deze boom toont de typische progressie van een Kerberos-aanval: van een gewone domain user account via credential harvesting en laterale beweging naar volledige domeincompromittering.
In de praktijk is het pad zelden zo lineair. Je combineert technieken uit Hoofdstuk 7 (ACL abuse, DCSync, MSSQL) met technieken uit dit hoofdstuk. BloodHound is je kaart en brengt de risicopaden in beeld.
Volgend hoofdstuk: we verlaten de Windows-wereld en duiken in de kunst van laterale beweging – hoe je van systeem naar systeem springt als een digitale parkouratleet, met techniques als PSRemoting, WMI, DCOM en meer.
Verder lezen in de kennisbank
Deze artikelen in het portaal geven je meer achtergrond en praktische context:
- Firewalls — de uitsmijter die niet alles tegenhoudt
- Netwerksegmentatie — waarom je niet alles aan alles moet knopen
- DNS — het telefoonboek dat het internet bij elkaar houdt
- Logging en monitoring — de bewakingscamera's van je IT-omgeving
- Zero Trust — vertrouw niemand, ook jezelf niet
Je hebt een account nodig om de kennisbank te openen. Inloggen of registreren.
Gerelateerde securitymaatregelen
Deze artikelen bieden aanvullende context en verdieping: