Krbtgt La cuenta de usuario se crea automáticamente cuando promoviendo un nuevo dominio de Active Directory. Sin embargo, muchos administradores de AD no tienen el conocimiento suficiente de esta cuenta, lo cual es muy importante desde el punto de vista de la seguridad y de todo el funcionamiento del dominio. ¡Intentemos arreglarlo!

La cuenta krbtgt con RID 502 se crea en el contenedor Usuarios cuando se instala el primer controlador de dominio. Esta cuenta está deshabilitada y se agrega solo a dos Grupos de seguridad de AD: Usuarios de dominio y grupo de replicación de contraseñas RODC denegadas. No puede cambiar el nombre de esta cuenta, habilitarla o eliminarla. Esta cuenta es clave para el funcionamiento de los servicios KDC y Kerberos en el dominio AD.

los KDC El servicio (Centro de distribución de Kerberos) se ejecuta en cada controlador de dominio AD, que procesa todas las solicitudes de tickets de Kerberos. Para crear una clave secreta que se utiliza para cifrar y descifrar los tickets TGT (emitidos por todos los KDC del dominio), se utiliza la contraseña de la cuenta krbtgt.

En la mayoría de los casos, la contraseña de la cuenta krbtgt no cambia desde el momento de la implementación de AD y si el hash de esta contraseña cae en manos de un hacker (por ejemplo, usando mimikatz o utilidades similares), puede crear su propio Golden Ticket Kerberos. , omitiendo el KDC y autenticándose en cualquier servicio en el dominio de AD mediante Kerberos.

Nota. El hash de la contraseña de la cuenta krbtgt no se almacena en los controladores de dominio del controlador de dominio de solo lectura (RODC), ya que cada RODC tiene su propia cuenta krbtgt.

Puede obtener información sobre la cuenta krbtgt y la fecha del último cambio de contraseña con PowerShell:

Get-AdUser krbtgt -property created, passwordlastset, enabled

cuenta krbtgt

En nuestro ejemplo, puede ver que la contraseña krbtgt no ha cambiado desde la creación del dominio AD.

Por razones de seguridad y para contrarrestar un ataque del tipo Golden Ticket Attack, es necesario cambiar periódicamente la contraseña de la cuenta de dominio krbtgt (una vez al año y cuando cualquier administrador de dominio deja su empresa). Debe cambiar la contraseña dos veces (con un retraso suficiente para realizar la replicación en todo el dominio), porque la contraseña actual y anterior de la cuenta krbtgt se almacena en el dominio. Incluso si los atacantes emitieron el Golden Ticket con un largo período de validez, después de cambiar la contraseña krbtgt, este ticket se volverá inútil.

Nota. Cuando usted elevar el nivel funcional del dominio (por ejemplo, de Windows Server 2012 R2 a Windows Server 2016), la contraseña de la cuenta krbtgt cambia automáticamente.

Puede cambiar la contraseña krbtgt como para cualquier usuario normal a través del Complemento ADUC (Restablecer contraseña), o puede usar un script de PowerShell listo

Restablezca la contraseña / claves de la cuenta krbtgt (https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51), que no solo cambia la contraseña de la cuenta, sino que también inicia y rastrea la replicación de esta contraseña en el dominio.

servicio krbtgt

¡Utilice una contraseña segura para krbtgt!

Si realiza un segundo cambio de la contraseña de la cuenta krbtgt durante los retrasos en la replicación, es posible que tenga problemas con algunos servicios de dominio (por ejemplo, Exchange). Para minimizar los riesgos después de cambiar la contraseña krbtgt, debe reiniciar el servicio Centro de distribución de claves Kerberos en todos los controladores de dominio manualmente a través de la consola services.msc (seleccione el servicio Distribución de claves Kerberos y haga clic en "Reiniciar").

nombre de servicio krbtgt

O (mucho más fácil), reinicie el servicio KDC usando PowerShell Get-Service:

$DCs=Get-ADDomainController
Get-Service KDC -ComputerName $DCs | Restart-Service

Recomendado para ti

RebajasBestseller No. 1
Rii X1 Mini Teclado inalámbrico 2.4GHz con ratón táctil, Control Remoto.Mini Wireless Keyboard - Compatible con Smart TV, Mini PC Android, Playstation, Xbox, HTPC, PC, Raspberry Pi (Layout español)
  • Manejable, portable, elegante y moderno. Un gran accesorio para tu ordenador portátil y de sobremesa, para PS3 o para Wii videoconsolas
  • Dispositivo inalámbrico 2.4 Ghz con receptor integrado. (Para Samsung TV, nuestro producto no funciona con la mayoría de ellos, pero si su TV es compatible con teclado, también es compatible con nuestro producto.)
  • Es el primer mando en incluir el diseño Touchpad 90º Flip-Design, para usar el touchpad tanto en vertical como en horizontal.
  • Con un touchpad real, como el de un Notebook. Diseño del teclado QWERTY. Control multimedia de Windows. Además de un control perfecto de otras características multimedia de tu ordenador.
  • Requerimientos del Sistema: Windows 2000, Windows XP, Windows Vista, Windows CE, Windows 7, Linux.¡OJO! Si tiene algún problema mientras usándolo, primero recárgalo completamente después probarlo otra vez. Si sigue teniendo problema, contáctanos mediante el mensaje de comrpador porfa.
RebajasBestseller No. 2