Kiekvienas AD domenas turi susietą KRBTGT paskyrą, skirtą užšifruoti ir pasirašyti visus domeno Kerberos bilietus. KRBTGT paskyra turėtų likti išjungta.
Kaip dažnai turėtumėte iš naujo nustatyti Krbtgt?
Iš naujo nustatykite krbtgt paskyros slaptažodį a rečiau kaip kas 180 dienų. Norint veiksmingai pašalinti slaptažodžių istoriją, slaptažodį reikia pakeisti du kartus. Vieną kartą pakeitus, laukiant, kol bus baigta replikacija, ir vėl pakeitus sumažėja problemų rizika.
Kas yra Krbtgt domenas?
KRBTGT paskyra yra numatytoji domeno paskyra, kuri veikia kaip raktų paskirstymo centro (KDC) paslaugos paslaugų paskyra. Šios paskyros negalima ištrinti, paskyros pavadinimo pakeisti ir jos negalima įjungti „Active Directory“.
Kam naudojamas Krbtgt?
KRBTGT paskyra naudojama užšifruoti ir pasirašyti visus Kerberos bilietus domene, o domeno valdikliai naudoja paskyros slaptažodį, kad iššifruotų Kerberos bilietus patvirtinimui. Šis paskyros slaptažodis niekada nesikeičia, o paskyros pavadinimas yra tas pats kiekviename domene, todėl tai yra gerai žinomas užpuolikų taikinys.
Kodėl Krbtgt paskyros slaptažodžio maiša pakeista funkcinio lygio naujovinimo iš Windows 2003 į Windows 2008 metu?
KRBTGT slaptažodžio maiša, kuri paprastai niekada nebuvo pakeista (išskyrus tada, kai domeno funkcinis lygis buvo padidintas nuo 2003 m. iki 2008/2008R2/2012/2012R2). … Tikėtina, kad taip yra dėl to, kad KRBTGT slaptažodis pasikeičia kaipdalis DFL naujinimo iki 2008 m., siekiant palaikyti Kerberos AES šifravimą, todėl jis buvo išbandytas.
