Յուրաքանչյուր AD տիրույթ ունի կապված KRBTGT հաշիվ՝ տիրույթի Kerberos-ի բոլոր տոմսերը գաղտնագրելու և ստորագրելու համար: KRBTGT հաշիվը պետք է մնա անջատված.
Որքա՞ն հաճախ է պետք վերակայել Krbtgt-ը:
Վերականգնել krbtgt հաշվի գաղտնաբառը առնվազն 180 օրը մեկ: Գաղտնաբառը պետք է երկու անգամ փոխվի՝ գաղտնաբառի պատմությունը արդյունավետորեն հեռացնելու համար: Մեկ անգամ փոխելը, կրկնօրինակման ավարտին սպասելը և նորից փոխելը նվազեցնում է խնդիրների ռիսկը:
Ի՞նչ է Krbtgt տիրույթը:
KRBTGT հաշիվը տիրույթի լռելյայն հաշիվ է, որը գործում է որպես ծառայության հաշիվ Հիմնական բաշխման կենտրոնի (KDC) ծառայության համար: Այս հաշիվը չի կարող ջնջվել, հաշվի անունը հնարավոր չէ փոխել և այն չի կարող միացվել Active Directory-ում:
Ինչի՞ համար է օգտագործվում Krbtgt-ը:
KRBTGT հաշիվն օգտագործվում է տիրույթում Kerberos-ի բոլոր տոմսերը գաղտնագրելու և ստորագրելու համար, իսկ տիրույթի վերահսկիչները օգտագործում են հաշվի գաղտնաբառը՝ Kerberos-ի տոմսերը վավերացման համար վերծանելու համար: Այս հաշվի գաղտնաբառը երբեք չի փոխվում, և հաշվի անունը նույնն է բոլոր տիրույթում, ուստի այն հայտնի թիրախ է հարձակվողների համար:
Ինչո՞ւ է փոխվել Krbtgt հաշվի գաղտնաբառի հեշը Windows 2003-ից Windows 2008 ֆունկցիոնալ մակարդակի բարելավման ժամանակ:
KRBTGT գաղտնաբառի հեշը, որը սովորաբար երբեք չի փոխվել (բացի այն ժամանակ, երբ տիրույթի ֆունկցիոնալ մակարդակը բարձրացվել է 2003-ից մինչև 2008/2008R2/2012/2012R2): … Սա, հավանաբար, պայմանավորված է նրանով, որ KRBTGT գաղտնաբառը փոխվում է որպես2008 թվականի DFL-ի թարմացման մաս՝ Kerberos AES կոդավորումն աջակցելու համար, ուստի այն փորձարկվել է:
