Chaque domaine AD a un compte KRBTGT associé pour chiffrer et signer tous les tickets Kerberos pour le domaine. Le compte KRBTGT doit rester désactivé.
À quelle fréquence devez-vous réinitialiser Krbtgt ?
Réinitialiser le mot de passe du compte krbtgt au moins tous les 180 jours. Le mot de passe doit être modifié deux fois pour supprimer efficacement l'historique des mots de passe. Changer une fois, attendre que la réplication soit terminée et changer à nouveau réduit le risque de problèmes.
Qu'est-ce que le domaine Krbtgt ?
Le compte KRBTGT est un compte de domaine par défaut qui agit comme un compte de service pour le service Key Distribution Center (KDC). Ce compte ne peut pas être supprimé, le nom du compte ne peut pas être modifié et il ne peut pas être activé dans Active Directory.
À quoi sert Krbtgt ?
Le compte KRBTGT est utilisé pour chiffrer et signer tous les tickets Kerberos au sein d'un domaine, et les contrôleurs de domaine utilisent le mot de passe du compte pour déchiffrer les tickets Kerberos à des fins de validation. Ce mot de passe de compte ne change jamais et le nom de compte est le même dans tous les domaines, c'est donc une cible bien connue des attaquants.
Pourquoi le hachage du mot de passe du compte Krbtgt a-t-il été modifié lors d'une mise à niveau fonctionnelle de Windows 2003 vers Windows 2008 ?
Le hachage du mot de passe KRBTGT qui n'a généralement jamais été modifié (sauf lorsque le niveau fonctionnel du domaine est passé de 2003 à 2008/2008R2/2012/2012R2). … Cela est probablement dû au fait que le mot de passe KRBTGT change commepartie de la mise à jour DFL vers 2008 pour prendre en charge le cryptage Kerberos AES, il a donc été testé.
