Әрбір AD доменінде доменге арналған барлық Kerberos билеттерін шифрлау және қол қою үшін байланысты KRBTGT тіркелгісі бар. KRBTGT есептік жазбасы өшірілген күйде қалуы керек.
Krbtgt параметрін қаншалықты жиі қалпына келтіру керек?
krbtgt есептік жазбасының құпия сөзін ысырыңыз кем дегенде 180 күн сайын. Құпия сөз тарихын тиімді жою үшін құпия сөзді екі рет өзгерту керек. Бір рет өзгерту, репликацияның аяқталуын күту және қайта өзгерту мәселенің туындау қаупін азайтады.
Krbtgt домені дегеніміз не?
KRBTGT тіркелгісі Кілтті тарату орталығы (KDC) қызметі үшін қызмет тіркелгісі ретінде әрекет ететін домен әдепкі тіркелгісі болып табылады. Бұл тіркелгіні жою мүмкін емес, тіркелгі атауын өзгерту мүмкін емес және оны Active Directory ішінде қосу мүмкін емес.
Krbtgt не үшін пайдаланылады?
KRBTGT тіркелгісі домендегі барлық Kerberos билеттерін шифрлау және қол қою үшінпайдаланылады, ал домен контроллері тексеру үшін Kerberos билеттерінің шифрын ашу үшін тіркелгі құпия сөзін пайдаланады. Бұл тіркелгі құпия сөзі ешқашан өзгермейді және есептік жазбаның аты барлық доменде бірдей, сондықтан ол шабуылдаушылар үшін белгілі мақсат болып табылады.
Windows 2003-тен Windows 2008-ге функционалдық деңгейді жаңарту кезінде Krbtgt тіркелгісінің құпиясөз хэші неге өзгертілді?
Әдетте ешқашан өзгертілмеген KRBTGT құпиясөз хэші (домен функционалдық деңгейі 2003 жылдан 2008/2008R2/2012/2012R2 дейін көтерілгеннен басқа). … Бұл KRBTGT құпия сөзі өзгеретініне байланысты болуы мүмкінKerberos AES шифрлауын қолдау үшін 2008 жылға арналған DFL жаңартуының бір бөлігі, сондықтан ол сынақтан өтті.
