Każda domena AD ma skojarzone konto KRBTGT do szyfrowania i podpisywania wszystkich biletów Kerberos dla domeny. Konto KRBTGT powinno pozostać wyłączone.
Jak często należy resetować Krbtgt?
Resetuj hasło do konta krbtgt a co najmniej co 180 dni. Hasło należy zmienić dwukrotnie, aby skutecznie usunąć historię haseł. Jednorazowa zmiana, oczekiwanie na zakończenie replikacji i ponowna zmiana zmniejsza ryzyko problemów.
Co to jest domena Krbtgt?
Konto KRBTGT jest domyślnym kontem domeny, które działa jako konto usługi dla usługi Centrum dystrybucji kluczy (KDC). Tego konta nie można usunąć, nie można zmienić nazwy konta i nie można go włączyć w Active Directory.
Do czego służy Krbtgt?
Konto KRBTGT jest używane do szyfrowania i podpisywania wszystkich biletów Kerberos w domenie, a kontrolery domeny używają hasła konta do odszyfrowywania biletów Kerberos w celu weryfikacji. To hasło do konta nigdy się nie zmienia, a nazwa konta jest taka sama w każdej domenie, więc jest dobrze znanym celem atakujących.
Dlaczego skrót hasła do konta Krbtgt został zmieniony podczas aktualizacji poziomu funkcjonalności z Windows 2003 do Windows 2008?
Skrót hasła KRBTGT, który zwykle nigdy nie został zmieniony (poza tym, gdy poziom funkcjonalności domeny został podniesiony z 2003 do 2008/2008R2/2012/2012R2). … Jest to prawdopodobnie spowodowane faktem, że hasło KRBTGT zmienia się jakoczęść aktualizacji DFL do 2008 r. w celu obsługi szyfrowania Kerberos AES, więc została ona przetestowana.
