Olá, pessoal, tudo bem?
Hoje o assunto será Active Directory, vamos falar da conta KRBTGT, qual é a finalidade, porque é tão importante alterar a sua senha.
Este conteúdo faz parte do exame AZ-801: Configurar serviços avançados híbridos do Windows Server. Recomendo a compra do livro Exam Ref AZ-801 Configuring Windows Server Hybrid Advanced Services (English Edition)do autor Orin Thomas para estudos desta certificação.
Conta KRBTGT
A conta KRBTGT representa uma conta local padrão essencial que desempenha o papel de conta de serviço para o Key Distribution Center (KDC) no contexto do sistema Windows. Esta conta age como uma identidade fundamental para o serviço KDC, facilitando a distribuição segura de chaves. É importante observar que esta conta não pode ser eliminada e seu nome não pode ser modificado, sendo uma constante inalterável. Além disso, a conta KRBTGT não pode ser ativada no Active Directory.
Além de sua função local, KRBTGT também é o termo usado para denotar a entidade de segurança específica no âmbito de um domínio Windows Server, conforme definido pelo RFC 4120. Quando um domínio é criado, a entidade de segurança KRBTGT é automaticamente gerada pelo KDC.
O sistema de autenticação Kerberos no Windows Server opera por meio de um mecanismo que envolve a utilização de um TGT (Ticket Granting Ticket) Kerberos, criptografado com uma chave simétrica. Esta chave é derivada da senha associada ao servidor ou serviço ao qual o acesso é requisitado. É fundamental notar que a senha TGT da conta KRBTGT permanece confidencial e é de conhecimento exclusivo do serviço Kerberos. Para solicitar um tíquete de sessão, o TGT deve ser apresentado ao KDC. A emissão do TGT é realizada pelo KDC para o cliente Kerberos.
Sobre a manutenção da conta KRBTGT
Contas KRBTGT e aquelas associadas às relações de confiança são automaticamente dotadas de senhas robustas. Como qualquer conta privilegiada de serviço, é crucial que organizações rotacionem essas senhas regularmente. A senha da conta do Centro de Distribuição de Chaves (KDC) é fundamental, pois é usada para gerar uma chave secreta para cifrar e decifrar solicitações TGT (Tickets Granting Ticket) emitidas. Do mesmo modo, a senha de uma conta vinculada a uma relação de confiança entre domínios é usada para criar uma chave entre reinos, essencial para a cifragem dos tíquetes de referência.
Para redefinir essas senhas, é necessário pertencer ao grupo de Administradores de Domínio ou possuir a autoridade apropriada. Além disso, é imprescindível ser membro do grupo de Administradores local ou ter a autorização correspondente.
Sobre a segurança da conta KRBTGT
É uma prática recomendada redefinir a senha da conta KRBTGT para garantir que um controlador de domínio recentemente restaurado não seja replicado com um controlador de domínio comprometido. Em cenários de recuperação envolvendo uma grande floresta distribuída em vários locais, não é possível garantir que todos os controladores de domínio sejam desativados. Mesmo se desativados, não há garantia de que não sejam reiniciados antes de concluir todas as etapas de recuperação necessárias. Após redefinir a conta KRBTGT, nenhum outro controlador de domínio poderá replicar a senha anterior dessa conta.
Se uma organização suspeita que a conta KRBTGT foi comprometida, é aconselhável considerar o envolvimento de serviços profissionais de resposta a incidentes. O impacto de restaurar a propriedade da conta é complexo e abrange todo o domínio, sendo parte integrante de um esforço de recuperação abrangente.
A senha da KRBTGT é crucial, pois está no cerne de todas as relações de confiança no sistema Kerberos. Redefinir essa senha equivale a atualizar a chave da Autoridade de Certificação raiz em um Certificado, não confiando mais na chave anterior. Isso afeta quase todas as operações subsequentes do Kerberos.
Para todos os tipos de contas (usuários, computadores e serviços), todos os TGTs emitidos anteriormente e em circulação se tornarão inválidos, pois os controladores de domínio os rejeitarão. Esses tíquetes são criptografados com a chave KRBTGT para validação por qualquer controlador de domínio. Com a alteração da senha, esses tíquetes perdem sua validade.
As sessões atualmente autenticadas que os usuários estabeleceram, com base nos tíquetes de serviço, em recursos como compartilhamentos de arquivo, sites do SharePoint ou servidores do Exchange, permanecerão válidas até que um novo tíquete de serviço seja necessário para autenticação.
É importante observar que as conexões autenticadas pelo NTLM não serão afetadas. Dado que é impossível prever os erros específicos que surgirão para os usuários em um ambiente operacional, é prudente supor que todos os computadores e usuários serão impactados por essa alteração.
Controladores de domínio somente leitura (RODC) e a conta KRBTGT
Os Controladores de Domínio Somente Leitura e a conta KRBTGT são componentes essenciais introduzidos pelo Windows Server 2008. O RODC (Controlador de Domínio Somente Leitura) foi implementado para atuar como o KDC (Centro de Distribuição de Chaves) em filiais. O RODC utiliza uma conta KRBTGT com uma senha distinta daquela do KDC em um Controlador de Domínio Gravável ao assinar ou criptografar solicitações de TGT (Tíquete de Concessão de Tíquetes). Após uma bem-sucedida autenticação da conta, o RODC verifica se as credenciais de usuário ou de computador podem ser replicadas do Controlador de Domínio Gravável para o RODC, conforme definido pela Política de Replicação de Senha.
Uma vez que as credenciais são armazenadas em cache no RODC, ele pode autorizar as solicitações de acesso do usuário até que essas credenciais sejam modificadas. Quando um TGT é assinado com a conta KRBTGT do RODC, o RODC reconhece que possui uma cópia em cache das credenciais. Se outro Controlador de Domínio assinar o TGT, o RODC direcionará as solicitações para um Controlador de Domínio Gravável.
Conta de serviço do Centro de Distribuição de Chaves para controlador de domínio somente leitura
Você pode aprender neste link aqui como implantar um controlador de domínio RODC.
Sobre redefinir a senha da conta KRBTGT
Essas informações cruciais, antes de redefinir a senha da conta KRBTGT:
- Garantir uma replicação saudável no domínio.
- Seguir a recomendação da Microsoft de redefinir a senha a cada 180 dias.
- Realizar a operação duas vezes.
- O histórico de senhas da conta KRBTGT inclui as duas senhas mais recentes; ao redefinir duas vezes, as senhas antigas são eliminadas do histórico, impedindo a replicação com senhas antigas por outros Controladores de Domínio.
- Não é necessário aguardar 10 horas, só é necessário aguardar a replicação.
- Se a conta KRBTGT estiver comprometida, mudar a senha duas vezes invalidará rapidamente os tickets de autenticação existentes, forçando novas autenticações. Isso pode exigir reinicialização dos serviços de aplicativos. Uma abordagem proativa é mudar a senha uma vez, esperar replicação e convergência da floresta, e então mudar novamente, garantindo segurança e reduzindo riscos.
- Se o seu domínio possui RODC lembre-se que a conta krbtgt para um RODC está listada no formato krbtgt_numero.
Eventos gerados
Ao alterar a senha da conta KRBTGT dois eventos serão gerados:
Evento ID 4724 – Foi feita uma tentativa de redefinir a senha de uma conta.
Visualizador de Eventos – Evento ID 4724 – Foi feita uma tentativa de redefinir a senha de uma conta
Evento ID 4738 – Uma conta de usuário foi alterada.
Visualizador de Eventos – Evento ID 4738 – Uma conta de usuário foi alterada
GitHub
Se você preferir usar o PowerShell, o GitHub tem vários scripts para redefinir a senha KRBTGT em controladores de domínio somente leitura e graváveis (RWDCs e RODCs) de maneira controlada.
https://gist.github.com/mubix/fd0c89ec021f70023695
https://github.com/hpmillaard/Reset-KrbtgtPassword
https://github.com/microsoft/New-KrbtgtKeys.ps1/blob/master/New-KrbtgtKeys.ps1
Vídeo
Neste vídeo, mergulharemos fundo na misteriosa e crucial conta do sistema Windows, a KRBTGT. Vamos explorar seu papel na autenticação e segurança de dados, entender sua importância em ambientes de Active Directory e desvendar seu funcionamento nos bastidores do sistema operacional. Prepare-se para uma jornada fascinante pelos meandros da cibersegurança e descubra por que a conta KRBTGT é essencial para proteger a integridade dos dados em Active Directory.
Referências
https://danieldonda.com/krbtgt-password-reset/
Não perca as novidades!
Inscreva-se no meu canal do YouTube e ative o sino de notificações para ficar por dentro de tudo!
Há 10 anos atuo na área de TI focado em suporte e administração de infraestrutura, especializado em plataformas Microsoft. Tenho grande experiência em troubleshooting, implantação, configuração e administração de funções e recursos de tecnologia Microsoft. Formado em Redes de Computadores pela faculdade Estácio de Sá de Belo Horizonte.
Comecei a compartilhar o meu conhecimento no ano de 2012, fazendo artigos e vídeos para o meu Blog. Em 2017 comecei a escrever artigos para o portal Cooperati.
Sou apaixonado em compartilhar o meu conhecimento. Meu lema é: um conhecimento só é válido quando compartilhado.
No responses yet