Jokaisella AD-verkkotunnuksella on liitetty KRBTGT-tili kaikkien Kerberos-lippujen salaamista ja allekirjoittamista varten. KRBTGT-tilin pitäisi pysyä poissa käytöstä.
Kuinka usein Krbtgt kannattaa nollata?
Palauta krbtgt-tilin salasana vähintään 180 päivän välein. Salasana on vaihdettava kahdesti salasanahistorian poistamiseksi tehokkaasti. Kerran vaihtaminen, replikaation valmistumisen odottaminen ja uudelleen vaihtaminen vähentää ongelmien riskiä.
Mikä on Krbtgt-verkkotunnus?
KRBTGT-tili on toimialueen oletustili, joka toimii Key Distribution Center (KDC) -palvelun palvelutilinä. Tätä tiliä ei voi poistaa, tilin nimeä ei voi muuttaa, eikä sitä voi ottaa käyttöön Active Directoryssa.
Mihin Krbtgtiä käytetään?
KRBTGT-tiliä käytetään kaikkien Kerberos-lippujen salaamiseen ja allekirjoittamiseen toimialueen sisällä, ja toimialueen ohjaimet käyttävät tilin salasanaa Kerberos-lippujen salauksen purkamiseen vahvistusta varten. Tämä tilin salasana ei muutu koskaan, ja tilin nimi on sama kaikissa verkkotunnuksissa, joten se on hyökkääjien tunnettu kohde.
Miksi Krbtgt-tilin salasanahajautus muutettiin toiminnallisen tason päivityksen aikana Windows 2003:sta Windows 2008:aan?
KRBTGT-salasanan tiiviste, jota ei yleensä ole koskaan muutettu (muuten kuin silloin, kun verkkotunnuksen toimintataso nostettiin 2003:sta 2008/2008R2/2012/2012R2:een). … Tämä johtuu todennäköisesti siitä, että KRBTGT-salasana muuttuu nimelläosa DFL-päivitystä vuoteen 2008 tukemaan Kerberos AES -salausta, joten se on testattu.
