Minden AD-tartományhoz tartozik egy KRBTGT-fiók a tartományhoz tartozó összes Kerberos-jegy titkosításához és aláírásához. A KRBTGT-fiók le van tiltva.
Milyen gyakran kell alaphelyzetbe állítani a Krbtgt-t?
Állítsa vissza a krbtgt fiók jelszavát legalább 180 naponta. A jelszót kétszer meg kell változtatni a jelszóelőzmények hatékony eltávolításához. Az egyszeri módosítás, a replikáció befejezésének megvárása és az újbóli módosítás csökkenti a problémák kockázatát.
Mi az a Krbtgt domain?
A KRBTGT-fiók egy tartomány alapértelmezett fiókja, amely a Kulcselosztó Központ (KDC) szolgáltatás szolgáltatásfiókjaként működik. Ez a fiók nem törölhető, a fiók neve nem módosítható, és nem engedélyezhető az Active Directoryban.
Mire használható a Krbtgt?
A KRBTGT-fiók a tartományon belüli összes Kerberos-jegy titkosítására és aláírására szolgál, a tartományvezérlők pedig a fiók jelszavát használják a Kerberos-jegyek visszafejtésére az érvényesítéshez. Ez a fiókjelszó soha nem változik, és a fiók neve minden tartományban ugyanaz, így a támadók jól ismert célpontja.
Miért változott meg a Krbtgt-fiók jelszókivonata a Windows 2003-ról Windows 2008-ra történő funkcionális szintű frissítés során?
A KRBTGT jelszó-kivonat, amely általában soha nem változott (kivéve, amikor a tartomány működési szintjét 2003-ról 2008/2008R2/2012/2012R2-re emelték). … Ez valószínűleg annak a ténynek köszönhető, hogy a KRBTGT jelszó így változikrésze a DFL 2008-as frissítésének, amely támogatja a Kerberos AES titkosítást, tehát tesztelve lett.
