krbtgt Password Reset

Passwort des Key Distribution Center Service Account ändern

Wenn eine Domäne aufgesetzt wird, ist das Passwort des Key Distribution Center Service Account „KRBTGT“, so alt wie der erste Domain Controller der in Betrieb genommen wurde.

Wenn die Domäne beispielsweise 5 Jahre läuft, dann ist auch das Passwort 5 Jahre alt.

Ist das sicher?

Was wenn der KRBTGT Master-Key bereits kompromittiert wurde?

krbtgt Password Reset

Anleitung:

krbtgt Password Reset

Powershell Skript:

Quelle: https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51

Englisches-OS:

New-CtmADKrbtgtKeys

SHA256: 1A4F5AC011B0957A740E557BB56BBA207187D0B9F58B2CDE4C16586B61A5C082

Deutsches-OS:

New-CtmADKrbtgtKeys-de

SHA256: 369703B7794C03E7E3D244B806F02E5977BEFEA037D7036D09EEEE2C70812580

Alternative Variante ganz klasssisch:

Import-Module ActiveDirectory

Set-ADAccountPassword -Identity (Get-ADUser krbtgt).DistinguishedName -Reset -NewPassword (ConvertTo-SecureString “Ranm3xComP@ssw0rd!” -AsPlainText -Force)

Max Kerberos Token Size IIS