Setiap domain AD mempunyai akaun KRBTGT yang berkaitan untuk menyulitkan dan menandatangani semua tiket Kerberos untuk domain tersebut. Akaun KRBTGT hendaklah kekal dilumpuhkan.
Berapa kerapkah anda perlu menetapkan semula Krbtgt?
Tetapkan semula kata laluan untuk akaun krbtgt sekurang-kurangnya setiap 180 hari. Kata laluan mesti ditukar dua kali untuk mengalih keluar sejarah kata laluan dengan berkesan. Menukar sekali, menunggu replikasi selesai dan menukar sekali lagi mengurangkan risiko isu.
Apakah itu domain Krbtgt?
Akaun KRBTGT ialah akaun lalai domain yang bertindak sebagai akaun perkhidmatan untuk perkhidmatan Pusat Pengedaran Kunci (KDC). Akaun ini tidak boleh dipadamkan, nama akaun tidak boleh ditukar dan ia tidak boleh didayakan dalam Active Directory.
Krbtgt digunakan untuk apa?
Akaun KRBTGT digunakan untuk menyulitkan dan menandatangani semua tiket Kerberos dalam domain dan pengawal domain menggunakan kata laluan akaun untuk menyahsulit tiket Kerberos untuk pengesahan. Kata laluan akaun ini tidak pernah berubah dan nama akaun adalah sama dalam setiap domain, jadi ia adalah sasaran yang terkenal untuk penyerang.
Mengapa cincang kata laluan untuk akaun Krbtgt ditukar semasa peningkatan tahap fungsi daripada Windows 2003 kepada Windows 2008?
Cincang kata laluan KRBTGT yang biasanya tidak pernah ditukar (selain apabila tahap fungsi domain dinaikkan dari 2003 kepada 2008/2008R2/2012/2012R2). … Ini berkemungkinan disebabkan kata laluan KRBTGT berubah sebagaisebahagian daripada kemas kini DFL ke 2008 untuk menyokong penyulitan Kerberos AES, jadi ia telah diuji.
