AD домэйн бүр домэйны бүх Kerberos тасалбарыг шифрлэх, гарын үсэг зурах холбоотой KRBTGT бүртгэлтэй байдаг. KRBTGT бүртгэл идэвхгүй байх ёстой.
Та Krbtgt-г хэр олон удаа шинэчлэх ёстой вэ?
Krbtgt бүртгэлийн нууц үгээ шинэчилнэ үү дор хаяж 180 хоног тутамд. Нууц үгийн түүхийг үр дүнтэй устгахын тулд нууц үгийг хоёр удаа өөрчлөх шаардлагатай. Нэг удаа өөрчлөх, хуулбарлахыг хүлээж, дахин өөрчлөх нь асуудлын эрсдэлийг бууруулдаг.
Krbtgt домэйн гэж юу вэ?
KRBTGT бүртгэл нь домэйны өгөгдмөл бүртгэл бөгөөд Түлхүүр түгээлтийн төвийн (KDC) үйлчилгээний үйлчилгээний бүртгэлийн үүрэг гүйцэтгэдэг. Энэ бүртгэлийг устгах, бүртгэлийн нэрийг өөрчлөх, Active Directory-д идэвхжүүлэх боломжгүй.
Krbtgt-г юунд ашигладаг вэ?
KRBTGT бүртгэлийг домайны бүх Kerberos тасалбарыг шифрлэх, гарын үсэг зурахад ашигладаг бөгөөд домэйн хянагч нар баталгаажуулахын тулд Kerberos тасалбарын шифрийг тайлахын тулд бүртгэлийн нууц үгийг ашигладаг. Энэ бүртгэлийн нууц үг хэзээ ч өөрчлөгддөггүй бөгөөд дансны нэр нь домэйн болгонд ижил байдаг тул халдагчдын сайн мэддэг бай болдог.
Windows 2003-аас Windows 2008 руу функцийн түвшний шинэчлэлт хийх үед яагаад Krbtgt бүртгэлийн нууц үгийн хэш өөрчлөгдсөн бэ?
KRBTGT нууц үгийн хэш нь ихэвчлэн хэзээ ч өөрчлөгдөөгүй (домайны үйл ажиллагааны түвшин 2003-аас 2008/2008R2/2012/2012R2 хүртэл нэмэгдсэнээс бусад). … Энэ нь KRBTGT нууц үг өөрчлөгддөгтэй холбоотой байх магадлалтай. Kerberos AES шифрлэлтийг дэмжих 2008 оны DFL шинэчлэлтийн нэг хэсэг тул үүнийг туршиж үзсэн.
