#KRBTGT #Zerologon
1. 確認KRBTGT帳號密碼最後設定日期是否在 180 天內
在 DC , 用 Powershell
> Get-ADUser krbtgt -Property PasswordLastSet
2. 重置KRBTGT帳號密碼
a. 按一下 [ 開始],指向 [ 主控台],指向 [系統 管理工具],然後按一下 [ Active Directory 消費者和電腦]。
b. 按一下 [檢視]****,然後按一下 [進階功能] 。
c. 在主控台樹中,按兩下 [網域] 容器,然後按一下 [ 使用者]。
d. 在詳細資料窗格中,以滑鼠右鍵按一下 krbtgt 使用者帳戶,然後按一下 [ 重設密碼]。
e. 在 [ 新密碼] 中輸入新密碼,在 [ 確認密碼] 中重新輸入密碼,然後按一下 [確定]。 您指定的密碼並不重要,因為系統會自動產生與您指定的密碼無關的強式密碼。
3. KRBTGT帳戶說明
KRBTGT帳戶是本地默認帳戶,充當密鑰分發中心(KDC)服務的服務帳戶。該帳戶無法刪除,並且帳戶名稱也無法更改。無法在Active Directory中啟用KRBTGT帳戶。
根據RFC 4120的規定,KRBTGT也是KDC用於Windows Server域的安全主體名稱。KRBTGT帳戶是KRBTGT安全主體的實體,並且在創建新域時自動創建。
Windows Server Kerberos身份驗證通過使用帶有對稱密鑰的特殊Kerberos票證授予票證(TGT)來實現。該密鑰來自請求訪問的服務器或服務的密碼。僅Kerberos服務知道KRBTGT帳戶的TGT密碼。為了請求會話票,必須將TGT提交給KDC。TGT從KDC發布給Kerberos客戶端。
4. KRBTGT帳戶維護注意事項
強密碼會自動分配給KRBTGT帳戶。確保定期更改密碼。KDC帳戶的密碼用於派生用於加密和解密已發出的TGT請求的密鑰。域信任帳戶的密碼用於導出域間密鑰,用於加密推薦票證。
有時,例如當嘗試更改KRBTGT帳戶上的密碼失敗時,需要重置KRBTGT帳戶密碼。為了解決此問題,您可以使用Active Directory用戶和計算機兩次重置KRBTGT用戶帳戶密碼。您必須重置密碼兩次,因為KRBTGT帳戶在密碼歷史記錄中僅存儲了兩個最新密碼。通過兩次重置密碼,可以有效地清除密碼歷史記錄中的所有密碼。
重置密碼要求您或者是Domain Admins組的成員,或者必須具有適當的權限委派。此外,您必須是本地Administrators組的成員,或者必須已委派了適當的權限。
重置KRBTGT密碼後,請確保將(Kerberos)Key-Distribution-Center事件源中的事件ID 6寫入系統事件日誌。
5. 安全注意事項
重置KRBTGT帳戶密碼也是一種最佳做法,以確保新還原的域控制器不會與受感染的域控制器進行複制。在這種情況下,在分佈於多個位置的大型林恢復中,您不能保證所有域控制器都已關閉,並且如果關閉它們,則在執行所有適當的恢復步驟之前,不能再次重新引導它們。重置KRBTGT帳戶後,另一個域控制器無法使用舊密碼來複製此帳戶密碼。
懷疑KRBTGT帳戶的域受到損害的組織應考慮使用專業的事件響應服務。恢復帳戶所有權的影響是整個領域的,需要大量勞動,這是較大恢復工作的一部分。
KRBTGT密碼是所有Kerberos信任鏈都可信任的密鑰。重置KRBTGT密碼類似於使用新密鑰續訂根CA證書,並且立即不信任舊密鑰,導致幾乎所有後續的Kerberos操作都將受到影響。
對於所有帳戶類型(用戶,計算機和服務)
所有已發行和分發的TGT均將無效,因為DC將拒絕它們。這些票證已使用KRBTGT加密,因此任何DC都可以對其進行驗證。更改密碼後,票證將失效。
在需要重新驗證服務票證之前,登錄用戶的所有當前已驗證會話(基於其服務票證)已建立到資源(例如文件共享,SharePoint網站或Exchange服務器)的會話良好。
NTLM身份驗證的連接不受影響