Hvert AD-domene har en tilknyttet KRBTGT-konto for å kryptere og signere alle Kerberos-billetter for domenet. KRBTGT-kontoen bør forbli deaktivert.
Hvor ofte bør du tilbakestille Krbtgt?
Tilbakestill passordet for krbtgt-kontoen minst hver 180. dag. Passordet må endres to ganger for å effektivt fjerne passordhistorikken. Hvis du endrer én gang, venter på at replikeringen skal fullføres og endres igjen, reduseres risikoen for problemer.
Hva er Krbtgt-domene?
KRBTGT-kontoen er en standard domenekonto som fungerer som en tjenestekonto for nøkkeldistribusjonssenteret (KDC)-tjenesten. Denne kontoen kan ikke slettes, kontonavnet kan ikke endres, og den kan ikke aktiveres i Active Directory.
Hva brukes Krbtgt til?
KRBTGT-kontoen brukes for å kryptere og signere alle Kerberos-billetter innenfor et domene, og domenekontrollere bruker kontopassordet til å dekryptere Kerberos-billetter for validering. Dette kontopassordet endres aldri, og kontonavnet er det samme i alle domener, så det er et velkjent mål for angripere.
Hvorfor endres passordhashen for Krbtgt-kontoen under en funksjonsoppgradering fra Windows 2003 til Windows 2008?
KRBTGT-passord-hashen som vanligvis aldri har blitt endret (annet enn da domenets funksjonsnivå ble hevet fra 2003 til 2008/2008R2/2012/2012R2). … Dette skyldes sannsynligvis det faktum at KRBTGT-passordet endres somdel av DFL-oppdateringen til 2008 for å støtte Kerberos AES-kryptering, så den har blitt testet.
