Todo domínio AD tem uma conta KRBTGT associada para criptografar e assinar todos os tíquetes Kerberos para o domínio. A conta KRBTGT deve permanecer desativada.
Com que frequência você deve redefinir o Krbtgt?
Redefinir a senha da conta krbtgt pelo menos a cada 180 dias. A senha deve ser alterada duas vezes para remover efetivamente o histórico de senhas. Alterar uma vez, aguardar a conclusão da replicação e alterar novamente reduz o risco de problemas.
O que é domínio Krbtgt?
A conta KRBTGT é uma conta padrão de domínio que atua como uma conta de serviço para o serviço Key Distribution Center (KDC). Esta conta não pode ser excluída, o nome da conta não pode ser alterado e não pode ser ativado no Active Directory.
Para que serve o Krbtgt?
A conta KRBTGT é usada para criptografar e assinar todos os tíquetes Kerberos em um domínio, e os controladores de domínio usam a senha da conta para descriptografar os tíquetes Kerberos para validação. Essa senha da conta nunca muda e o nome da conta é o mesmo em todos os domínios, por isso é um alvo bem conhecido para invasores.
Por que o hash de senha da conta Krbtgt foi alterado durante uma atualização de nível funcional do Windows 2003 para o Windows 2008?
O hash de senha KRBTGT que geralmente nunca foi alterado (exceto quando o nível funcional do domínio foi aumentado de 2003 para 2008/2008R2/2012/2012R2). … Isso provavelmente se deve ao fato de que a senha do KRBTGT muda conformeparte da atualização DFL para 2008 para oferecer suporte à criptografia Kerberos AES, por isso foi testada.
