לכל דומיין AD יש חשבון KRBTGT משויך להצפנה וחתימה על כל כרטיסי Kerberos עבור הדומיין. חשבון KRBTGT אמור להישאר מושבת.
באיזו תדירות עליך לאפס את Krbtgt?
אפס את הסיסמה עבור חשבון krbtgt לפחות כל 180 ימים. יש לשנות את הסיסמה פעמיים כדי להסיר ביעילות את היסטוריית הסיסמאות. שינוי פעם אחת, המתנה לסיום השכפול ושינוי שוב מפחית את הסיכון לבעיות.
מהו דומיין Krbtgt?
חשבון KRBTGT הוא חשבון ברירת מחדל של דומיין שפועל כחשבון שירות עבור שירות מרכז הפצת מפתחות (KDC). לא ניתן למחוק חשבון זה, לא ניתן לשנות את שם החשבון ולא ניתן להפעיל אותו ב-Active Directory.
למה משמש Krbtgt?
חשבון KRBTGT משמש כדי להצפין ולחתום על כל כרטיסי Kerberos בתוך דומיין, ובקרי דומיין משתמשים בסיסמת החשבון כדי לפענח כרטיסי Kerberos לצורך אימות. סיסמת חשבון זו לעולם אינה משתנה, ושם החשבון זהה בכל תחום, כך שהוא יעד ידוע לתוקפים.
מדוע משתנה ה-hash של הסיסמה לחשבון Krbtgt במהלך שדרוג ברמה הפונקציונלית מ-Windows 2003 ל-Windows 2008?
ה-Hash סיסמת KRBTGT שלרוב מעולם לא שונתה (מלבד כאשר רמת התפקוד של הדומיין הועלתה מ-2003 ל-2008/2008R2/2012/2012R2). … זה כנראה נובע מהעובדה שסיסמת ה-KRBTGT משתנה כחלק מהעדכון של DFL ל-2008 כדי לתמוך בהצפנת Kerberos AES, ולכן הוא נבדק.
