Vsaka domena AD ima povezan račun KRBTGT za šifriranje in podpis vseh vstopnic Kerberos za domeno. Račun KRBTGT bi moral ostati onemogočen.
Kako pogosto bi morali ponastaviti Krbtgt?
Ponastavite geslo za krbtgt račun a najmanj vsakih 180 dni. Geslo je treba dvakrat spremeniti, da učinkovito odstranite zgodovino gesel. Enkratna sprememba, čakanje na dokončanje replikacije in ponovna sprememba zmanjša tveganje za težave.
Kaj je domena Krbtgt?
Račun KRBTGT je privzeti račun domene, ki deluje kot račun storitve za storitev Key Distribution Center (KDC). Tega računa ni mogoče izbrisati, imena računa ni mogoče spremeniti in ga ni mogoče omogočiti v Active Directory.
Za kaj se uporablja Krbtgt?
Račun KRBTGT se uporablja za šifriranje in podpis vseh vstopnic Kerberos znotraj domene, krmilniki domen pa uporabljajo geslo računa za dešifriranje vstopnic Kerberos za potrditev. To geslo računa se nikoli ne spremeni, ime računa pa je enako v vseh domenah, zato je dobro znana tarča napadalcev.
Zakaj je razpršeno geslo za račun Krbtgt spremenjeno med nadgradnjo funkcionalne ravni z Windows 2003 na Windows 2008?
Zgoščenje gesla KRBTGT, ki običajno ni bilo nikoli spremenjeno (razen takrat, ko je bila funkcionalna raven domene dvignjena z 2003 na 2008/2008R2/2012/2012R2). … To je verjetno posledica dejstva, da se geslo KRBTGT spremeni kotdel posodobitve DFL za leto 2008, ki podpira šifriranje Kerberos AES, zato je bil preizkušen.
