krbtgt Password Reset

Passwort des Key Distribution Center Service Account ändern

Wenn eine Domäne aufgesetzt wird, ist das Passwort des Key Distribution Center Service Account „KRBTGT“, so alt wie der erste Domain Controller der in Betrieb genommen wurde.

Wenn die Domäne beispielsweise 5 Jahre läuft, dann ist auch das Passwort 5 Jahre alt.

Ist das sicher?

Was wenn der KRBTGT Master-Key bereits kompromittiert wurde?

krbtgt Password Reset

Anleitung:

krbtgt Password Reset

Powershell Skript:

Quelle: https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51

Englisches-OS:

New-CtmADKrbtgtKeys

SHA256: 1A4F5AC011B0957A740E557BB56BBA207187D0B9F58B2CDE4C16586B61A5C082

Deutsches-OS:

New-CtmADKrbtgtKeys-de

SHA256: 6095C4788EF5F8D17709EB3EF559DD5CD44E75A5F2BD9C21BC8688ACC47EEFF6

Alternative Variante ganz klasssisch:

Import-Module ActiveDirectory

Set-ADAccountPassword -Identity (Get-ADUser krbtgt).DistinguishedName -Reset -NewPassword (ConvertTo-SecureString “Ranm3xComP@ssw0rd!” -AsPlainText -Force)

Max Kerberos Token Size IIS