تغییر پسورد کاربر در اکتیو دایرکتوری

زمانی که می خواهید یک سرور را به Domain Controller تبدیل کنید، اکانتی به نام krbtgt ساخته خواهد شد که اغلب ادمین هایی که با اکتیو دایرکتوری کار می کنند در باره ی این اکانت دانش کافی را ندارند در صورتی که این اکانت از نظر امنیتی و کارکرد domain اهمیت بسزایی دارد.تغییر پسورد کاربر در اکتیو دایرکتوری

اکانت krbtgt با RID به شماره ۵۰۲ در کانتینر Users دقیقا زمانی که شما اولین Domain Controller خود را ساخته اید، به وجود می آید و به صورت پیشفرض غیر فعال بوده و به دو security group اعمال شده است که این دو security group شامل Domain Users و Denied RODC Password Replication Group می باشد. نمیتوانید هیچ گونه عملی مانند تغییر نام ، فعال و یا حذف کردن زا روی آن اعمال کنید. این اکانت بسیار اکانت مهمی است زیرا  برای کار کردن KDC و Kerberos در اکتیو دایرکتوری ار آن استفاده می شود.تغییر پسورد کاربر در اکتیو دایرکتوری

سرویس (KDC (Kerberos Distribution  روی domain controller اجرا شده و وظیفه آن  پردازش کردن درخواست های مربوط به Kerberos می باشد. اگر بخواهید یک کلید خصوصی که برای رمزنگاری و رمزگشایی بلیط های TGT کاربرد دارد ایجاد کنید،برای رمز عبور از اکانت krbtgt استفاده خواهد شد.

 

 

 

معمولا، رمز عبور اکانت krbtgt عوض نمی شود، اما در صورتی که مقدار هش  رمز عبور این اکانت توسط یک هکر تغییر داده شود (به وسیله ابزار mimikatz)، میتواند با ایجاد Golden Ticket Kerberos باعث دور زدن KDC و احراز هویت  به سرویس های دامنه AD شود.

نکته: هش اکانت krbtgt در (Read-Only Domain Controller (RODC ذخیره نخواهد شد، چون هر RODC مقدار اکانت RODC مختص به خود را دارا می باشد.

برای دریافت اطلاعات اکانت krbtg در پاورشل دستور زیر را وارد کنید:

1
GetAdUser krbtgt property created, passwordlastset, enabled

 

با توجه به شکل بالا خواهید دید که رمز عبور krbtgt از زمانی که دامنه AD ساخته شده تغییر نکرده است.

به دلایل امنیتی و جلوگیری از حملات Golden Ticket Attack توصیه می شود که زمانی که ادمین شما شرکت شما را ترک کرد این رمز تغییر داده شود. توجه داشته باشید که باید  این رمز عبور را  دوبار تغییر دهید، زیرا رمز عبور فعلی و قبلی اکانت krbtgt در دامنه ذخیره شده است.

نکته: هنگامی که و ویندوز سرور را ارتقا می دهید (برای مثال، از ویندوز سرور ۲۰۱۲ به ویندوز سرور ۲۰۱۶ انتقال میدهید) رمز عبور اکانت krbtgt به صورت اتوماتیک تغییر خواهد کرد.

از طریق ADUC میتوانید رمز عبور اکانت krbtgt را برای هر کاربر تغییر دهید یا از اسکریپت پاورشل استفاده کنید.

برای تغییر رمز عبور اکانت krbtgt برای هر کاربر می توانید از ADUC یا پاورشل استفاده کنید.

 

 

 

رمز عبور قوی را برای اکانت krbtgt در نظر بگیرید.

 

احتمالا به هنگام دومین تغییر  بر روی رمز عبور اکانت krbtgt در طول عملیات replication با مشکلاتت در برخی از سرویسهای مربوط به دامنه بر خواهید خورد.

برای کاهش این ریسک  باید سرویس Kerberos Key Distribution Center را روی همه domain controller ها با استفاده از کنسول services.msc ریست کنید برای این کار بر روی Kerberos Key Distribution Center کلیک راست کرده و سپس بر روی Restart کلیک کنید

 

 

با با استفاده از اجرای دستور زیر در پاورشل این کار را انجام دهید:

$DCs=Get-ADDomainControllerGet-Service KDC -ComputerName $DCs | Restart-Service

برای پشتیانی شبکه و پشتیبانی voip با شرکت تیلاتل در تماس باشید.