Fiecare domeniu AD are asociat un cont KRBTGT pentru a cripta și semna toate biletele Kerberos pentru domeniu. Contul KRBTGT ar trebui să rămână dezactivat.
Cât de des ar trebui să resetați Krbtgt?
Resetați parola pentru contul krbtgt cel puțin la fiecare 180 de zile. Parola trebuie schimbată de două ori pentru a elimina efectiv istoricul parolelor. Schimbarea o dată, așteptarea finalizării replicării și schimbarea din nou reduce riscul de probleme.
Ce este domeniul Krbtgt?
Contul KRBTGT este un cont implicit de domeniu care acționează ca un cont de serviciu pentru serviciul Centrul de distribuție a cheilor (KDC). Acest cont nu poate fi șters, numele contului nu poate fi schimbat și nu poate fi activat în Active Directory.
Pentru ce este folosit Krbtgt?
Contul KRBTGT este folosit pentru a cripta și semna toate biletele Kerberos dintr-un domeniu, iar controlorii de domeniu folosesc parola contului pentru a decripta biletele Kerberos pentru validare. Această parolă de cont nu se schimbă niciodată, iar numele contului este același în fiecare domeniu, deci este o țintă binecunoscută pentru atacatori.
De ce este modificată hash-ul parolei pentru contul Krbtgt în timpul unui upgrade de nivel funcțional de la Windows 2003 la Windows 2008?
Hash-ul parolei KRBTGT care de obicei nu a fost schimbat niciodată (cu excepția cazului în care nivelul funcțional al domeniului a fost ridicat din 2003 în 2008/2008R2/2012/2012R2). … Acest lucru se datorează probabil faptului că parola KRBTGT se modifică caparte a actualizării DFL din 2008 pentru a accepta criptarea Kerberos AES, deci a fost testat.
