Jede AD-Domäne hat ein zugeordnetes KRBTGT-Konto, um alle Kerberos-Tickets für die Domäne zu verschlüsseln und zu signieren. Das KRBTGT-Konto sollte deaktiviert bleiben.
Wie oft sollten Sie Krbtgt zurücksetzen?
Passwort für das krbtgt-Konto zurücksetzen mindestens alle 180 Tage. Das Passwort muss zweimal geändert werden, um den Passwortverlauf effektiv zu entfernen. Einmaliges Ändern, Warten auf den Abschluss der Replikation und erneutes Ändern verringert das Risiko von Problemen.
Was ist eine Krbtgt-Domain?
Das KRBTGT-Konto ist ein Domänen-Standardkonto, das als Dienstkonto für den Key Distribution Center (KDC)-Dienst fungiert. Dieses Konto kann nicht gelöscht werden, der Kontoname kann nicht geändert werden und es kann nicht in Active Directory aktiviert werden.
Wofür wird Krbtgt verwendet?
Das KRBTGT-Konto wird verwendet, um alle Kerberos-Tickets innerhalb einer Domäne zu verschlüsseln und zu signieren, und Domänencontroller verwenden das Kontopasswort, um Kerberos-Tickets für die Validierung zu entschlüsseln. Dieses Kontopasswort ändert sich nie und der Kontoname ist in jeder Domäne gleich, daher ist es ein bekanntes Ziel für Angreifer.
Warum wird der Passwort-Hash für das Krbtgt-Konto während eines Upgrades der Funktionsebene von Windows 2003 auf Windows 2008 geändert?
Der KRBTGT-Passwort-Hash, der normalerweise nie geändert wurde (außer wenn die Domänenfunktionsebene von 2003 auf 2008/2008R2/2012/2012R2 angehoben wurde). … Dies liegt wahrscheinlich daran, dass sich das KRBTGT-Passwort ändert alsTeil des DFL-Updates auf 2008 zur Unterstützung der Kerberos-AES-Verschlüsselung, also getestet.
