Katram AD domēnam ir saistīts KRBTGT konts, lai šifrētu un parakstītu visas Kerberos biļetes šim domēnam. KRBTGT kontam jābūt atspējotam.
Cik bieži vajadzētu atiestatīt Krbtgt?
Atiestatiet krbtgt konta paroli vismaz ik pēc 180 dienām. Parole ir jāmaina divas reizes, lai efektīvi noņemtu paroles vēsturi. Mainot vienu reizi, gaidot, līdz replikācija ir pabeigta, un mainot vēlreiz, tiek samazināts problēmu risks.
Kas ir Krbtgt domēns?
KRBTGT konts ir domēna noklusējuma konts, kas darbojas kā pakalpojuma konts Key Distribution Center (KDC) pakalpojumam. Šo kontu nevar dzēst, konta nosaukumu nevar mainīt, un to nevar iespējot programmā Active Directory.
Kam tiek izmantots Krbtgt?
KRBTGT konts tiek izmantots lai šifrētu un parakstītu visas Kerberos biļetes domēnā, un domēna kontrolleri izmanto konta paroli, lai atšifrētu Kerberos biļetes apstiprināšanai. Šī konta parole nekad nemainās, un konta nosaukums ir vienāds visos domēnos, tāpēc tas ir labi zināms uzbrucēju mērķis.
Kāpēc Krbtgt konta paroles jaukšana ir mainīta funkcionālā līmeņa jaunināšanas laikā no Windows 2003 uz Windows 2008?
KRBTGT paroles jaucējkods, kas parasti nekad nav mainīts (izņemot gadījumus, kad domēna funkcionālais līmenis tika paaugstināts no 2003. gada uz 2008/2008R2/2012/2012R2). … Tas, iespējams, ir saistīts ar faktu, ka KRBTGT parole mainās kādaļa no DFL atjauninājuma uz 2008, lai atbalstītu Kerberos AES šifrēšanu, tāpēc tas ir pārbaudīts.