Каждый домен AD имеет связанную учетную запись KRBTGT для шифрования и подписи всех билетов Kerberos для домена. Учетная запись KRBTGT должна оставаться отключенной.
Как часто нужно сбрасывать Krbtgt?
Сброс пароля для учетной записи krbtgt не реже одного раза в 180 дней. Пароль необходимо изменить дважды, чтобы эффективно удалить историю паролей. Изменение один раз, ожидание завершения репликации и повторное изменение снижает риск возникновения проблем.
Что такое домен Krbtgt?
Учетная запись KRBTGT - это учетная запись домена по умолчанию, которая действует как учетная запись службы для службы центра распространения ключей (KDC). Эту учетную запись нельзя удалить, изменить имя учетной записи и включить ее в Active Directory.
Для чего используется Krbtgt?
Учетная запись KRBTGT используется для шифрования и подписи всех билетов Kerberos в домене, а контроллеры домена используют пароль учетной записи для расшифровки билетов Kerberos для проверки. Пароль этой учетной записи никогда не меняется, а имя учетной записи одинаково во всех доменах, поэтому это хорошо известная цель для злоумышленников.
Почему хэш пароля для учетной записи Krbtgt был изменен во время обновления функционального уровня с Windows 2003 до Windows 2008?
Хэш пароля KRBTGT, который обычно никогда не менялся (кроме случаев, когда функциональный уровень домена был повышен с 2003 до 2008/2008R2/2012/2012R2). … Вероятно, это связано с тем, что пароль KRBTGT меняется по меречасть обновления DFL до версии 2008 для поддержки шифрования Kerberos AES, поэтому оно было протестировано.
