Понедельник, 9:15. Аудит AD банка — «у нас всё под контролем». Через два часа: 847 сервисных аккаунтов, 312 с SPN, 94 в Domain Admins, у 23 пароль не менялся пять лет. Контролировало их ноль человек. Каждый такой аккаунт — готовая мишень для Kerberoasting.Service...
Аудит сервисных аккаунтов Active Directory: инвентаризация, Kerberoasting-риски и least privilege
Источник: codeby.net