Každá doména AD má přidružený účet KRBTGT pro šifrování a podepisování všech lístků Kerberos pro danou doménu. Účet KRBTGT by měl zůstat deaktivován.
Jak často byste měli resetovat Krbtgt?
Resetujte heslo pro účet krbtgt a nejméně každých 180 dní. Aby bylo možné účinně odstranit historii hesel, je nutné heslo změnit dvakrát. Jednou změnou, čekáním na dokončení replikace a opětovnou změnou se snižuje riziko problémů.
Co je doména Krbtgt?
Účet KRBTGT je výchozí účet domény, který funguje jako servisní účet pro službu Key Distribution Center (KDC). Tento účet nelze smazat, název účtu nelze změnit a nelze jej povolit ve službě Active Directory.
K čemu se Krbtgt používá?
Účet KRBTGT se používá k šifrování a podepisování všech lístků Kerberos v rámci domény a řadiče domény používají heslo účtu k dešifrování lístků Kerberos pro ověření. Toto heslo účtu se nikdy nemění a název účtu je stejný v každé doméně, takže je dobře známým cílem útočníků.
Proč se během upgradu funkční úrovně z Windows 2003 na Windows 2008 změnil hash hesla pro účet Krbtgt?
Hash hesla KRBTGT, který se obvykle nikdy nezměnil (kromě případů, kdy byla úroveň funkčnosti domény zvýšena z roku 2003 na 2008/2008R2/2012/2012R2). … Je to pravděpodobně způsobeno tím, že se heslo KRBTGT mění jakočást aktualizace DFL na rok 2008 na podporu šifrování Kerberos AES, takže byla testována.
