Moet krbtgt worden uitgeschakeld?

Inhoudsopgave:

Moet krbtgt worden uitgeschakeld?
Moet krbtgt worden uitgeschakeld?
Anonim

Elk AD-domein heeft een bijbehorend KRBTGT-account om alle Kerberos-tickets voor het domein te coderen en te ondertekenen. Het KRBTGT-account moet uitgeschakeld blijven.

Hoe vaak moet je Krbtgt resetten?

Reset het wachtwoord voor het krbtgt-account minstens elke 180 dagen. Het wachtwoord moet twee keer worden gewijzigd om de wachtwoordgeschiedenis effectief te verwijderen. Eén keer wijzigen, wachten tot de replicatie is voltooid en opnieuw wijzigen, vermindert het risico op problemen.

Wat is het Krbtgt-domein?

Het KRBTGT-account is een standaard domeinaccount dat fungeert als een serviceaccount voor de Key Distribution Center (KDC)-service. Dit account kan niet worden verwijderd, de accountnaam kan niet worden gewijzigd en het kan niet worden ingeschakeld in Active Directory.

Waar wordt Krbtgt voor gebruikt?

Het KRBTGT-account wordt gebruikt om alle Kerberos-tickets binnen een domein te coderen en te ondertekenen, en domeincontrollers gebruiken het accountwachtwoord om Kerberos-tickets te decoderen voor validatie. Dit accountwachtwoord verandert nooit en de accountnaam is hetzelfde in elk domein, dus het is een bekend doelwit voor aanvallers.

Waarom is de wachtwoordhash voor het Krbtgt-account gewijzigd tijdens een upgrade op functioneel niveau van Windows 2003 naar Windows 2008?

De KRBTGT-wachtwoordhash die gewoonlijk nooit is gewijzigd (behalve toen het domeinfunctionaliteitsniveau werd verhoogd van 2003 naar 2008/2008R2/2012/2012R2). … Dit is waarschijnlijk te wijten aan het feit dat het KRBTGT-wachtwoord veranderingen alsonderdeel van de DFL-update naar 2008 om Kerberos AES-codering te ondersteunen, dus het is getest.

Aanbevolen: