ทุกโดเมน AD มีบัญชี KRBTGT ที่เชื่อมโยงเพื่อเข้ารหัสและลงนามตั๋ว Kerberos ทั้งหมดสำหรับโดเมน บัญชี KRBTGT ควรถูกปิดการใช้งาน.
คุณควรรีเซ็ต Krbtgt บ่อยแค่ไหน
รีเซ็ตรหัสผ่านสำหรับบัญชี krbtgt อย่างน้อยทุก 180 วัน. ต้องเปลี่ยนรหัสผ่านสองครั้งเพื่อลบประวัติรหัสผ่านอย่างมีประสิทธิภาพ การเปลี่ยนแปลงหนึ่งครั้ง รอให้การจำลองแบบสมบูรณ์และเปลี่ยนแปลงอีกครั้งจะช่วยลดความเสี่ยงของปัญหา
โดเมน Krbtgt คืออะไร
บัญชี KRBTGT คือ บัญชีเริ่มต้นของโดเมนที่ทำหน้าที่เป็นบัญชีบริการสำหรับบริการ Key Distribution Center (KDC) บัญชีนี้ไม่สามารถลบได้ ไม่สามารถเปลี่ยนชื่อบัญชีได้ และไม่สามารถเปิดใช้งานใน Active Directory ได้
Krbtgt ใช้ทำอะไร
บัญชี KRBTGT ถูกใช้ เพื่อเข้ารหัสและลงนามตั๋ว Kerberos ทั้งหมดภายในโดเมน และผู้ควบคุมโดเมนใช้รหัสผ่านของบัญชีเพื่อถอดรหัสตั๋ว Kerberos สำหรับการตรวจสอบ รหัสผ่านของบัญชีนี้ไม่เคยเปลี่ยน และชื่อบัญชีจะเหมือนกันในทุกโดเมน จึงเป็นเป้าหมายที่รู้จักกันดีสำหรับผู้โจมตี
เหตุใดแฮชรหัสผ่านสำหรับบัญชี Krbtgt จึงเปลี่ยนระหว่างการอัปเกรดระดับการใช้งานจาก Windows 2003 เป็น Windows 2008
แฮชรหัสผ่าน KRBTGT ซึ่งปกติไม่เคยมีการเปลี่ยนแปลง (นอกเหนือจากเมื่อระดับการทำงานของโดเมนเพิ่มขึ้นจากปี 2003 เป็น 2008/2008R2/2012/2012R2) … นี่อาจเป็นเพราะรหัสผ่าน KRBTGT เปลี่ยนเป็นส่วนหนึ่งของการอัปเดต DFL เป็นปี 2008 เพื่อรองรับการเข้ารหัส Kerberos AES ดังนั้นจึงได้รับการทดสอบแล้ว