Svaka AD domena ima pridruženi KRBTGT račun za šifriranje i potpisivanje svih Kerberos tiketa za domenu. KRBTGT račun bi trebao ostati onemogućen.
Koliko često treba resetovati Krbtgt?
Resetujte lozinku za krbtgt nalog a najmanje svakih 180 dana. Lozinka se mora dvaput promijeniti da bi se efektivno uklonila historija lozinki. Promjena jednom, čekanje da se replikacija završi i ponovno mijenjanje smanjuje rizik od problema.
Šta je Krbtgt domena?
KRBTGT račun je podrazumevani račun domene koji djeluje kao servisni račun za uslugu Key Distribution Center (KDC). Ovaj račun se ne može izbrisati, naziv računa se ne može promijeniti i ne može se omogućiti u Active Directory.
Za šta se koristi Krbtgt?
KRBTGT nalog se koristi za šifrovanje i potpisivanje svih Kerberos tiketa u okviru domene, a kontrolori domena koriste lozinku naloga za dešifrovanje Kerberos tiketa radi provere. Ova lozinka za nalog se nikada ne menja, a ime naloga je isto na svim domenima, tako da je dobro poznata meta napadača.
Zašto je heš lozinke za Krbtgt nalog promenjen tokom nadogradnje funkcionalnog nivoa sa Windows 2003 na Windows 2008?
Heš lozinke KRBTGT koji obično nikada nije promijenjen (osim kada je funkcionalni nivo domene podignut sa 2003. na 2008/2008R2/2012/2012R2). … Ovo je vjerovatno zbog činjenice da se KRBTGT lozinka mijenja kaodio DFL ažuriranja do 2008. za podršku Kerberos AES enkripcije, tako da je testirano.
