Každá doména AD má priradený účet KRBTGT na šifrovanie a podpisovanie všetkých lístkov Kerberos pre doménu. Účet KRBTGT by mal zostať deaktivovaný.
Ako často by ste mali resetovať Krbtgt?
Resetujte heslo pre účet krbtgt aspoň každých 180 dní. Heslo je potrebné zmeniť dvakrát, aby sa účinne odstránila história hesiel. Jedna zmena, čakanie na dokončenie replikácie a opätovná zmena znižuje riziko problémov.
Čo je doména Krbtgt?
Účet KRBTGT je predvolený účet domény, ktorý funguje ako servisný účet pre službu Key Distribution Center (KDC). Tento účet nemožno odstrániť, názov účtu nemožno zmeniť a nemožno ho povoliť v službe Active Directory.
Na čo sa Krbtgt používa?
Účet KRBTGT sa používa na šifrovanie a podpisovanie všetkých lístkov Kerberos v rámci domény a radiče domény používajú heslo účtu na dešifrovanie lístkov Kerberos na overenie. Toto heslo účtu sa nikdy nemení a názov účtu je rovnaký v každej doméne, takže je dobre známym cieľom útočníkov.
Prečo sa zmenil hash hesla pre účet Krbtgt počas inovácie funkčnej úrovne z Windows 2003 na Windows 2008?
Hash hesla KRBTGT, ktorý sa zvyčajne nikdy nezmenil (okrem prípadov, keď bola funkčná úroveň domény zvýšená z roku 2003 na 2008/2008R2/2012/2012R2). … Je to pravdepodobne spôsobené tým, že heslo KRBTGT sa mení akočasť aktualizácie DFL na rok 2008 na podporu šifrovania Kerberos AES, takže bola testovaná.