Mỗi miền AD đều có một tài khoản KRBTGT được liên kết để mã hóa và ký tất cả các vé Kerberos cho miền. Tài khoản KRBTGT vẫn bị vô hiệu hóa.
Bao lâu thì bạn nên đặt lại Krbtgt?
Đặt lại mật khẩu cho tài khoản krbtgtít nhất 180 ngày một lần. Mật khẩu phải được thay đổi hai lần để xóa lịch sử mật khẩu một cách hiệu quả. Thay đổi một lần, chờ quá trình nhân rộng hoàn tất và thay đổi lại sẽ giảm nguy cơ xảy ra sự cố.
Miền Krbtgt là gì?
Tài khoản KRBTGT làtài khoản mặc định của miền hoạt động như một tài khoản dịch vụ cho dịch vụ của Trung tâm phân phối chính(KDC). Không thể xóa tài khoản này, không thể thay đổi tên tài khoản và không thể bật nó trong Active Directory.
Krbtgt được sử dụng để làm gì?
Tài khoản KRBTGT được sử dụngđể mã hóa và ký tất cả các vé Kerberos trong miềnvà bộ điều khiển miền sử dụng mật khẩu tài khoản để giải mã các vé Kerberos nhằm xác thực. Mật khẩu tài khoản này không bao giờ thay đổi và tên tài khoản giống nhau ở mọi miền, vì vậy nó là mục tiêu nổi tiếng của những kẻ tấn công.
Tại sao mật khẩu băm cho tài khoản Krbtgt bị thay đổi trong quá trình nâng cấp cấp chức năng từ Windows 2003 lên Windows 2008?
Băm mật khẩu KRBTGT thường không bao giờ được thay đổi (trừ khi cấp chức năng miền được nâng từ 2003 lên 2008 / 2008R2 / 2012 / 2012R2). … Điều này có thể là do mật khẩu KRBTGTthay đổi nhưmột phần của bản cập nhật DFL lên năm 2008 để hỗ trợ mã hóa Kerberos AES, vì vậy nó đã được thử nghiệm.
