-->

whaust

2020年10月29日 星期四

重置KRBTGT 帳號 (KRBTGT account reset)

#KRBTGT   #Zerologon


1. 確認KRBTGT帳號密碼最後設定日期是否在 180 天內

在  DC , 用 Powershell 

> Get-ADUser krbtgt -Property PasswordLastSet

確認 Password History 低於 180 天.


2. 重置KRBTGT帳號密碼

a. 按一下 [ 開始],指向 [ 主控台],指向 [系統 管理工具],然後按一下 [ Active Directory 消費者和電腦]。

b. 按一下 [檢視]****,然後按一下 [進階功能] 。

c. 在主控台樹中,按兩下 [網域] 容器,然後按一下 [ 使用者]。

d. 在詳細資料窗格中,以滑鼠右鍵按一下 krbtgt 使用者帳戶,然後按一下 [ 重設密碼]。

e. 在 [ 新密碼] 中輸入新密碼,在 [ 確認密碼] 中重新輸入密碼,然後按一下 [確定]。 您指定的密碼並不重要,因為系統會自動產生與您指定的密碼無關的強式密碼。




3. KRBTGT帳戶說明

KRBTGT帳戶是本地默認帳戶,充當密鑰分發中心(KDC)服務的服務帳戶。該帳戶無法刪除,並且帳戶名稱也無法更改。無法在Active Directory中啟用KRBTGT帳戶。

根據RFC 4120的規定,KRBTGT也是KDC用於Windows Server域的安全主體名稱。KRBTGT帳戶是KRBTGT安全主體的實體,並且在創建新域時自動創建。

Windows Server Kerberos身份驗證通過使用帶有對稱密鑰的特殊Kerberos票證授予票證(TGT)來實現。該密鑰來自請求訪問的服務器或服務的密碼。僅Kerberos服務知道KRBTGT帳戶的TGT密碼。為了請求會話票,必須將TGT提交給KDC。TGT從KDC發布給Kerberos客戶端。

4. KRBTGT帳戶維護注意事項

強密碼會自動分配給KRBTGT帳戶。確保定期更改密碼。KDC帳戶的密碼用於派生用於加密和解密已發出的TGT請求的密鑰。域信任帳戶的密碼用於導出域間密鑰,用於加密推薦票證。

有時,例如當嘗試更改KRBTGT帳戶上的密碼失敗時,需要重置KRBTGT帳戶密碼。為了解決此問題,您可以使用Active Directory用戶和計算機兩次重置KRBTGT用戶帳戶密碼。您必須重置密碼兩次,因為KRBTGT帳戶在密碼歷史記錄中僅存儲了兩個最新密碼。通過兩次重置密碼,可以有效地清除密碼歷史記錄中的所有密碼。

重置密碼要求您或者是Domain Admins組的成員,或者必須具有適當的權限委派。此外,您必須是本地Administrators組的成員,或者必須已委派了適當的權限。

重置KRBTGT密碼後,請確保將(Kerberos)Key-Distribution-Center事件源中的事件ID 6寫入系統事件日誌。

5. 安全注意事項

重置KRBTGT帳戶密碼也是一種最佳做法,以確保新還原的域控制器不會與受感染的域控制器進行複制。在這種情況下,在分佈於多個位置的大型林恢復中,您不能保證所有域控制器都已關閉,並且如果關閉它們,則在執行所有適當的恢復步驟之前,不能再次重新引導它們。重置KRBTGT帳戶後,另一個域控制器無法使用舊密碼來複製此帳戶密碼。

懷疑KRBTGT帳戶的域受到損害的組織應考慮使用專業的事件響應服務。恢復帳戶所有權的影響是整個領域的,需要大量勞動,這是較大恢復工作的一部分。

KRBTGT密碼是所有Kerberos信任鏈都可信任的密鑰。重置KRBTGT密碼類似於使用新密鑰續訂根CA證書,並且立即不信任舊密鑰,導致幾乎所有後續的Kerberos操作都將受到影響。

對於所有帳戶類型(用戶,計算機和服務)

  • 所有已發行和分發的TGT均將無效,因為DC將拒絕它們。這些票證已使用KRBTGT加密,因此任何DC都可以對其進行驗證。更改密碼後,票證將失效。

  • 在需要重新驗證服務票證之前,登錄用戶的所有當前已驗證會話(基於其服務票證)已建立到資源(例如文件共享,SharePoint網站或Exchange服務器)的會話良好。

  • NTLM身份驗證的連接不受影響



Source :  https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn745899(v=ws.11)?redirectedfrom=MSDN


2020年10月17日 星期六

EACの実際の値の計算方法

 推定完了値完了時の推定(EAC)

EACの計算方法は、現在の実際のコスト(実際のコスト(AC))を累積し、次に可能なコスト(推定完了(ETC))を計算することです。

式として記述
EAC = AC + ETC

そしてETCにはいくつかの仮定があります

A.フォローアップ計画が完全に信頼できないと仮定して、完全に再見積もりします

このとき、ETCは各ジョブの残存コストに応じて累積されます

言い換えれば、各仕事に何人の人が関与するか(リソース)、何時間の人員が投資されるか(残りの労働単位)を再評価するとします。

現時点では、残りの労働単位*各リソースの単価は、作業の残りのコストを取得します

すべての残りのコストの累積はETCを取得します

B.ベースラインの計画に従って継続すると仮定する

計算方法は

各ジョブの(完了時の元の予算-現在の実績値(獲得値))をパフォーマンスファクターで変換した後、各ジョブのETCを取得し、最終的に累積します。

これはそれが式として書かれている方法です

ETC =(BAC-EV)* PF

現時点では、PFには4つの仮定があります。

I.楽観的な仮定

PF = 1

現時点では、BAC-EVが次に費やされるすべてのお金であると想定しています。

これは、現在の過剰支出(または予算不足)が異常であり、将来的に元の計画に従うことができることを意味します。

例:元の推定100人時の作業、現在の完了度が最大20人時であるとすると、ETC = 100-20 = 80人時となります。

この方法では、実際の投資状況を考慮せず、20人時の重量比を達成しています。

II。客観的な仮定

PF = 1 / CPI

これは、現在のコスト使用状況によるものです(CPIは、投資された1ドルの価値を表す、お金を使う効率です)。効率がわずか80%であると仮定すると、この効率は引き続き発生すると想定されます。

例:100人時の作業の当初の見積もり、20人時の重量比の現在の完了度、およびCPI = 0.8であると仮定します。

次に、ETC =(100-20)/0.8 = 100人力時間です。これは、前の人員容量が当初の見積もりの​​80%しかないため、次の80時間の作業には実際に100人力時間が必要であることを意味します。

III。保守的な仮定

PF = 1 /(CPI * SPI)

コスト使用状況に加えて、スケジュール状況も考慮されます。

コスト利用状況が良くない場合(CPI <1)、時間経過状況が良くない場合(SPI <1)、PFは非常に控えめな調整ウェイトになります。非常に高いETCが計算されます。

IV。カスタム

PF =カスタム値

通常、パーティAがパーティBのパフォーマンスを評価するときに、契約で定義された値に使用されます。


実際の値の基本式

時間経過の差:SV = EV – PV
コストの差:CV = EV – AC
時間経過パフォーマンスインジケーター:SPI = EV / PV
コストパフォーマンスインジケーター:CPI = EV / AC
推定完了コスト:EAC = AC +(* BAC-EV )x * PF
完了率:パフォーマンス%完了=(累積EV)/ BAC

Popular