Svaka AD domena ima pridruženi KRBTGT račun za šifriranje i potpisivanje svih Kerberos ulaznica za domenu. KRBTGT račun bi trebao ostati onemogućen.
Koliko često trebate resetirati Krbtgt?
Poništi lozinku za krbtgt račun a najmanje svakih 180 dana. Lozinka se mora dvaput promijeniti kako bi se povijest lozinke učinkovito uklonila. Jednom izmjenom, čekanjem da se replikacija završi i ponovnom izmjenom smanjuje se rizik od problema.
Što je Krbtgt domena?
KRBTGT račun je zadani račun domene koji djeluje kao servisni račun za uslugu Key Distribution Center (KDC). Ovaj račun se ne može izbrisati, naziv računa se ne može promijeniti i ne može se omogućiti u Active Directory.
Za što se koristi Krbtgt?
KRBTGT račun se koristi za šifriranje i potpisivanje svih Kerberos ulaznica unutar domene, a kontrolori domene koriste lozinku računa za dešifriranje Kerberos ulaznica radi provjere. Ova lozinka računa se nikada ne mijenja, a naziv računa je isti u svakoj domeni, tako da je dobro poznata meta napadača.
Zašto je hash lozinke za Krbtgt račun promijenjen tijekom nadogradnje funkcionalne razine sa Windows 2003 na Windows 2008?
Heš lozinke KRBTGT koji se obično nikada nije mijenjao (osim kada je funkcionalna razina domene podignuta s 2003. na 2008/2008R2/2012/2012R2). … To je vjerojatno zbog činjenice da se KRBTGT lozinka mijenja kaodio ažuriranja DFL-a za 2008. za podršku Kerberos AES enkripcije, pa je testiran.
