Ogni dominio AD ha un account KRBTGT associato per crittografare e firmare tutti i ticket Kerberos per il dominio. L'account KRBTGT dovrebbe rimanere disabilitato.
Quanto spesso dovresti resettare Krbtgt?
Reimposta la password per l'account krbtgt almeno ogni 180 giorni. La password deve essere modificata due volte per rimuovere efficacemente la cronologia delle password. Cambiare una volta, attendere il completamento della replica e cambiare di nuovo riduce il rischio di problemi.
Cos'è il dominio Krbtgt?
L'account KRBTGT è un account predefinito di dominio che funge da account di servizio per il servizio Key Distribution Center (KDC). Questo account non può essere eliminato, il nome dell'account non può essere modificato e non può essere abilitato in Active Directory.
A cosa serve Krbtgt?
L'account KRBTGT viene utilizzato per crittografare e firmare tutti i ticket Kerberos all'interno di un dominio e i controller di dominio utilizzano la password dell'account per decrittografare i ticket Kerberos per la convalida. Questa password dell'account non cambia mai e il nome dell'account è lo stesso in ogni dominio, quindi è un noto obiettivo per gli aggressori.
Perché l'hash della password per l'account Krbtgt è stato modificato durante un aggiornamento del livello funzionale da Windows 2003 a Windows 2008?
L'hash della password KRBTGT che di solito non è mai stato modificato (tranne quando il livello funzionale del dominio è stato aumentato dal 2003 al 2008/2008R2/2012/2012R2). … Ciò è probabilmente dovuto al fatto che la password KRBTGT cambia comeparte dell'aggiornamento DFL al 2008 per supportare la crittografia AES Kerberos, quindi è stato testato.
