krbtgt – konto w Active Directory, o którym być może nie wszyscy słyszeli, albo też nie zdają sobie sprawy, a posiadające wielką moc 🙂 Dlatego należy odpowiednio zadbać o to konto. Tak samo jak pisałem o higienie haseł (tutaj). Jest kilka scenariuszy, w których należy zmienić hasło dla konta krbtgt:
- Nasze środowisko zostało skompromitowane, warto również zmienić hasło, gdy zachodzi podejrzenie wtargnięcia do naszej infrastruktury.
- Gdy którykolwiek z administratorów posiadających uprawnienia Domain Admins lub Enterprise Admins opuszcza organizacje.
- Dobre praktyki wskazują, aby zmieniać hasło dla tego konta co 180 dni.
Pewnie zadajecie sobie pytanie, w jakim celu w ogóle dokonuje się zmiany hasła. Cel jest prosty, unieważnić wszystkie tickety Kerberosowe, które aktualnie są wydane – głównie chodzi o tzw. Golden Ticket. Dlatego jest on taki niebezpieczny, ponieważ pozwala na dowolne operacje na środowisku AD.
Zatem do dzieła, na początku uruchamiamy konsole Active Directory Users and Computers, po czym z menu rozwijanego klikamy na View i zaznaczamy opcje Advanced features.
Następnie przechodzimy do kontenera Users i szukamy tam wyłączonego konta krbtgt
Klikamy prawym przyciskiem myszy i z menu kontekstowego wybieramy opcję Reset password. W pola należy wpisać dowolne hasło zgodne z naszą polityka haseł, AD i tak w to miejsce podstawi swój wygenerowany losowo ciąg znaków. Zatwierdzamy przyciskiem OK.
Teraz po zmianie musicie odczekać do pełnej synchronizacji środowiska AD – hasło musi być spójne na wszystkich kontrolerach. Następnie hasło trzeba zmienić ponownie, aby doszło do wygaszenia ticketów.
Zawsze możecie skorzystać ze skryptu do zmiany hasła oraz wymuszenia replikacji kontrolerów, znacząco przyspiesza on propagacje nowego hasła. Znajdziecie go tutaj.
UWAGA! Jeśli posiadacie środowisko multidomenowe, to każda domena w lesie posiada swoje konto krbtgt i zmianę hasła należy przeprowadzić osobno.
