Har bir AD domenida domen uchun barcha Kerberos chiptalarini shifrlash va imzolash uchun bogʻlangan KRBTGT hisobi mavjud. KRBTGT hisobi oʻchirilgan boʻlishi kerak.
Krbtgt sozlamalarini qanchalik tez-tez tiklashingiz kerak?
Krbtgt hisobi kamida har 180 kunda uchun parolni qayta oʻrnating. Parol tarixini samarali olib tashlash uchun parol ikki marta o'zgartirilishi kerak. Bir marta oʻzgartirish, takrorlash tugashini kutish va yana oʻzgartirish muammolar xavfini kamaytiradi.
Krbtgt domeni nima?
KRBTGT hisobi domen standart hisobi boʻlib, Kalit tarqatish markazi (KDC) xizmati uchun xizmat hisobi sifatida ishlaydi. Bu hisobni oʻchirib boʻlmaydi, hisob nomini oʻzgartirib boʻlmaydi va uni Active Directoryʼda faollashtirib boʻlmaydi.
Krbtgt nima uchun ishlatiladi?
KRBTGT hisobi domenidagi barcha Kerberos chiptalarini shifrlash va imzolash uchunishlatiladi va domen nazoratchilari tasdiqlash uchun Kerberos chiptalarini shifrlash uchun hisob parolidan foydalanadilar. Bu hisob paroli hech qachon oʻzgarmaydi va hisob nomi har bir domenda bir xil boʻladi, shuning uchun u tajovuzkorlar uchun taniqli nishon hisoblanadi.
Nega Windows 2003-dan Windows 2008-ga funksional darajadagi yangilanish vaqtida Krbtgt hisobining parol xeshi oʻzgartirildi?
Odatda hech qachon oʻzgartirilmaydigan KRBTGT parol xeshi (domen funksional darajasi 2003 yildan 2008/2008R2/2012/2012R2 gacha koʻtarilganidan tashqari). … Bu, ehtimol, KRBTGT parolining sifatida oʻzgarishi bilan bogʻliqdir. Kerberos AES shifrlashni qo'llab-quvvatlash uchun 2008 yilga DFL yangilanishining bir qismi, shuning uchun u sinovdan o'tkazildi.
