Ang bawat AD domain ay may nauugnay na KRBTGT account upang i-encrypt at lagdaan ang lahat ng tiket ng Kerberos para sa domain. Ang KRBTGT account ay dapat manatiling naka-disable.
Gaano kadalas mo dapat i-reset ang Krbtgt?
I-reset ang password para sa krbtgt account hindi bababa sa bawat 180 araw. Ang password ay dapat na palitan ng dalawang beses upang epektibong maalis ang kasaysayan ng password. Ang pagpapalit ng isang beses, paghihintay na makumpleto ang pagkopya at pagbabagong muli ay nakakabawas sa panganib ng mga isyu.
Ano ang Krbtgt domain?
Ang KRBTGT account ay isang domain default account na nagsisilbing account ng serbisyo para sa serbisyo ng Key Distribution Center (KDC). Hindi matatanggal ang account na ito, hindi mababago ang pangalan ng account, at hindi ito mapapagana sa Active Directory.
Para saan ang Krbtgt?
Ginagamit ang KRBTGT account upang i-encrypt at pirmahan ang lahat ng tiket sa Kerberos sa loob ng isang domain, at ginagamit ng mga controllers ng domain ang password ng account para i-decrypt ang mga tiket ng Kerberos para sa pagpapatunay. Ang password ng account na ito ay hindi nagbabago, at ang pangalan ng account ay pareho sa bawat domain, kaya ito ay isang kilalang target para sa mga umaatake.
Bakit binago ang password hash para sa Krbtgt account sa panahon ng functional level upgrade mula sa Windows 2003 patungong Windows 2008?
Ang KRBTGT password hash na kadalasan ay hindi pa nababago (maliban sa kapag ang antas ng functional na domain ay itinaas mula 2003 hanggang 2008/2008R2/2012/2012R2). … Ito ay malamang dahil sa katotohanan na ang KRBTGT password nagbabago bilangbahagi ng DFL update sa 2008 upang suportahan ang Kerberos AES encryption, kaya nasubukan na ito.