Hər bir AD domenində domen üçün bütün Kerberos biletlərini şifrələmək və imzalamaq üçün əlaqəli KRBTGT hesabı var. KRBTGT hesabı qeyri-aktiv qalmalıdır.
Krbtgt-i nə qədər tez-tez sıfırlamalısınız?
krbtgt hesabı üçün parolu sıfırlayın ən azı 180 gündə bir. Parol tarixçəsini effektiv şəkildə silmək üçün parol iki dəfə dəyişdirilməlidir. Bir dəfə dəyişmək, təkrarlamanın tamamlanmasını gözləmək və yenidən dəyişmək problem riskini azaldır.
Krbtgt domeni nədir?
KRBTGT hesabı Açar Dağıtım Mərkəzi (KDC) xidməti üçün xidmət hesabı kimi çıxış edən defolt domen hesabıdır. Bu hesabı silmək, hesab adını dəyişmək və Active Directory-də aktivləşdirmək mümkün deyil.
Krbtgt nə üçün istifadə olunur?
KRBTGT hesabı domeni daxilində bütün Kerberos biletlərini şifrələmək və imzalamaq üçünistifadə edilir və domen nəzarətçiləri təsdiq üçün Kerberos biletlərinin şifrəsini açmaq üçün hesab parolundan istifadə edirlər. Bu hesab parolu heç vaxt dəyişmir və hesab adı hər domendə eynidir, ona görə də o, təcavüzkarlar üçün tanınmış hədəfdir.
Niyə Windows 2003-dən Windows 2008-ə funksional səviyyənin yüksəldilməsi zamanı Krbtgt hesabı üçün parol hash dəyişdirilib?
Adətən heç dəyişdirilməyən KRBTGT parol hashı (domen funksional səviyyəsinin 2003-cü ildən 2008/2008R2/2012/2012R2-yə yüksəldilməsi istisna olmaqla). … Bu, çox güman ki, KRBTGT parolunun kimi dəyişməsi ilə əlaqədardırKerberos AES şifrələməsini dəstəkləmək üçün 2008-ci il üçün DFL yeniləməsinin bir hissəsidir, ona görə də sınaqdan keçirilib.
