Elke AD-domein het 'n geassosieerde KRBTGT-rekening om alle Kerberos-kaartjies vir die domein te enkripteer en te onderteken. Die KRBTGT-rekening behoort gedeaktiveer te bly.
Hoe gereeld moet jy Krbtgt terugstel?
Stel die wagwoord vir die krbtgt-rekening terug ten minste elke 180 dae. Die wagwoord moet twee keer verander word om die wagwoordgeskiedenis effektief te verwyder. Om een keer te verander, te wag vir replikasie om te voltooi en weer te verander, verminder die risiko van probleme.
Wat is Krbtgt-domein?
Die KRBTGT-rekening is 'n domein verstekrekening wat optree as 'n diensrekening vir die Sleutelverspreidingsentrum (KDC) diens. Hierdie rekening kan nie uitgevee word nie, rekeningnaam kan nie verander word nie, en dit kan nie in Active Directory geaktiveer word nie.
Waarvoor word Krbtgt gebruik?
Die KRBTGT-rekening word gebruik om alle Kerberos-kaartjies binne 'n domein te enkripteer en te onderteken, en domeinbeheerders gebruik die rekeningwagwoord om Kerberos-kaartjies vir bekragtiging te dekripteer. Hierdie rekeningwagwoord verander nooit nie, en die rekeningnaam is dieselfde in elke domein, so dit is 'n bekende teiken vir aanvallers.
Waarom word die wagwoord-hash vir die Krbtgt-rekening verander tydens 'n funksionele vlak-opgradering van Windows 2003 na Windows 2008?
Die KRBTGT-wagwoord-hash wat gewoonlik nooit verander is nie (behalwe wanneer die domein se funksionele vlak van 2003 na 2008/2008R2/2012/2012R2 verhoog is). … Dit is waarskynlik te wyte aan die feit dat die KRBTGT-wagwoord verander asdeel van die DFL-opdatering na 2008 om Kerberos AES-enkripsie te ondersteun, so dit is getoets.
