Setiap domain AD memiliki akun KRBTGT terkait untuk mengenkripsi dan menandatangani semua tiket Kerberos untuk domain tersebut. Akun KRBTGT harus tetap dinonaktifkan.
Seberapa sering Anda harus mereset Krbtgt?
Reset kata sandi untuk akun krbtgt setidaknya setiap 180 hari. Kata sandi harus diubah dua kali untuk menghapus riwayat kata sandi secara efektif. Mengubah sekali, menunggu replikasi selesai dan mengubah lagi mengurangi risiko masalah.
Apa itu domain Krbtgt?
Akun KRBTGT adalah akun default domain yang bertindak sebagai akun layanan untuk layanan Pusat Distribusi Kunci (KDC). Akun ini tidak dapat dihapus, nama akun tidak dapat diubah, dan tidak dapat diaktifkan di Active Directory.
Krbtgt digunakan untuk apa?
Akun KRBTGT digunakan untuk mengenkripsi dan menandatangani semua tiket Kerberos dalam domain, dan pengontrol domain menggunakan kata sandi akun untuk mendekripsi tiket Kerberos untuk validasi. Kata sandi akun ini tidak pernah berubah, dan nama akunnya sama di setiap domain, sehingga sering menjadi target penyerang.
Mengapa hash kata sandi untuk akun Krbtgt berubah selama peningkatan tingkat fungsional dari Windows 2003 ke Windows 2008?
Hash sandi KRBTGT yang biasanya tidak pernah diubah (selain saat level fungsional domain dinaikkan dari 2003 menjadi 2008/2008R2/2012/2012R2). … Ini mungkin karena fakta bahwa kata sandi KRBTGT berubah sebagaibagian dari pembaruan DFL ke 2008 untuk mendukung enkripsi Kerberos AES, jadi telah diuji.
