AD KRBTGT Account Password Reset

KRBTGT Hesabı Nedir?

KRBTGT (Kerberos Ticket Granting Ticket) hesabı, Active Directory (AD) içinde bulunan ve Kerberos kimlik doğrulama protokolünün temel bir bileşeni olan özel bir hesaptır. Bu hesap, bilgisayar ağlarında güvenli kimlik doğrulama işlemlerini desteklemek için kullanılır.

• KRBTGT hesabı, Active Directory (AD) içinde bulunan özel bir hesaptır. Bu hesap, Kerberos kimlik doğrulama protokolünün çalışmasında merkezi bir rol oynar.

• KRBTGT hesabı, Ticket Granting Ticket (TGT) bileti üretir ve doğrular. Kullanıcılar bu bileti alarak AD içinde güvenli kimlik doğrulama yapabilirler.

• TGT bileti, kullanıcının kimliğini doğrulamak için kullanılır. Kullanıcılar TGT bileti ile diğer hizmetlere erişim sağlayabilirler.

• KRBTGT hesabı, bu bileti oluşturmak ve doğrulamak için kullanılan anahtarları ve şifrelemeyi yönetir.

KRBTGT Parolasını Neden Değiştirmelisiniz?

Çoğu büyük kuruluş Kerberos şifrelerini düzenli olarak değiştirir. Ancak küçük ve orta ölçekli işletmeler, etki alanı altyapılarını uygulamaya koyduklarından beri bunları değiştirmemiş olabilir. Bir saldırgan bir ağa girdiğinde "golden ticket" saldırı dizisini kullanabilir. Active Directory (AD), Kerberos biletleri için AD etki alanındaki KRBTGT'yi kullanır. KRBTGT hesabının şifre karması çalınırsa veya bir saldırıyla kırılırsa, saldırganlar gerekli kimlik doğrulamayla kendilerine ağınıza tam erişim izni verebilir.

Bu sebeple KRBTGT hesabı parolasının değiştirilmesi önerilmektedir. ***Microsoft tarafından önerilen 6/ay da bir (180 gün/1)

***KRBTGT hesabı, Key Distribution Center(KDC) hizmeti için hizmet hesabı görevi gören yerel bir varsayılan hesaptır. Bu hesap silinemez ve hesap adı değiştirilemez. KRBTGT hesabı Active Directory üzerinde etkinleştirilemez.

***KRBTGT hesabının şifre geçmişi değeri 2'dir, yani en yeni 2 şifreyi içerir. Parolayı iki kez sıfırlayarak geçmişteki tüm eski parolaları etkili bir şekilde temizlersiniz; böylece başka bir DC'nin eski bir parola kullanarak bu DC ile çoğaltma yapması mümkün olmaz.

***Şifre geçmişini etkili bir şekilde kaldırmak için şifrenin iki kez değiştirilmesi gerekir. Bir kez değiştirmek, çoğaltmanın tamamlanmasını beklemek ve tekrar değiştirmek sorun riskini azaltır. Ancak Hızlı bir şekilde art arda iki kez değişiklik yapmak, istemcileri yeniden kimlik doğrulamaya zorlar (uygulama hizmetleri dahil)

***Önemli: Birçok çevresel nedenden dolayı işler ters gidebileceği için PowerShell betiğini (Windows Task Scheduler) olarak planlamanızı önermiyoruz.

***Manuel parola değişiminde, belirttiğiniz parola önemli değildir çünkü sistem, belirttiğiniz paroladan bağımsız olarak otomatik olarak güçlü bir parola oluşturacaktır.

Kerberos Kimlik Doğrulama Protokolü

Kerberos, bilgisayar ağlarında güvenli kimlik doğrulama sağlayan bir protokoldür. Kullanıcıların, kaynaklara erişmek için kimliklerini güvenli bir şekilde doğrulamalarını sağlar. Kerberos, kullanıcıların kimliklerini doğrulamak için şifreler ve biletler kullanır. Bu protokol, bilgisayar ağlarının güvenliğini artırmak ve yetkilendirme işlemlerini sağlamak için yaygın olarak kullanılır.

KRBTGT Hesap Parolası Sıfırlama PowerShell Betiği

Link: https://github.com/zjorz/Public-AD-Scripts/tree/master

#Written by: Jorge de Almeida Pinto - zjorz [MVP]

Not: Sürüm v1, Jared Poeppelman (Microsoft) tarafından yazılmıştır.
Not: Bundan sonra Jorge de Almeida Pintore(zjorz) senaryoyu yeniden yazdı, tonlarca özellik ekledi ve 2. versiyon böylece doğmuş oldu.
Not: Resmi komut dosyası adı Reset-KrbTgt-Password-For-RWDCs-And-RODCs.ps1
**Not: Versiyon 2'yi kullanmanızı öneririm.

Bu Scriptin Aşamaları:

1. KRBTGT Hesabı Şifresini Sıfırlama: İlk adımda, script KRBTGT hesabının şifresini sıfırlar ve yeni bir parola karma değeri oluşturur. Bu, güvenlik açısından kritik bir işlemdir, çünkü KRBTGT hesabının şifresi 180 günde bir değiştirilmesi önerilmektedir. (
2. KRBTGT Hesabını Çoğaltma: Sıfırlanan KRBTGT hesabı ve ilgili anahtarlar, hemen tüm etki alanı denetleyicilerine (Domain Controller) çoğaltılır. Bu, değişikliklerin etki alanı genelinde tutarlı bir şekilde uygulanmasını sağlar.
3. Doğrulama İşlemi: Script, tüm etki alanı denetleyicilerine yeni anahtarların başarıyla çoğaltıldığını doğrular. Bu doğrulama, değişikliklerin her bir DC tarafından başarıyla kabul edildiğini ve etki alanının tutarlı bir şekilde güncellendiğini doğrular.

Bu script, KRBTGT hesabının şifresini düzenli aralıklarla sıfırlayarak Active Directory güvenliğini artırmak için kullanışlıdır. KRBTGT hesabının şifresinin düzenli olarak değiştirilmesi, potansiyel güvenlik tehditlerine karşı bir önlem sağlar ve kötü amaçlı kullanımların önlenmesine yardımcı olur.

#Son olarak
#Hesabın son şifre değiştirme tarihini göster.
Get-aduser krbtgt -properties passwordlastset

#KRBTGT şifre çoğaltmasını tüm domainde dogrula:
repadmin.exe /showattr *.guler.com "cn=krbtgt,cn=users,dc=guler,dc=com" /atts:pwdLastSet

Random PASS Generator PS ISE:

#Random PASS Generator PS ISE | TheGuler0x |
#33: "!" (unlem isareti)
#48-57: "0" ile "9" arası rakamlar
#65-90: "A" ile "Z" arası buyuk harf karakter
#97-122: "a" ile "z" arası kucuk harf karakter
#126: "~" (tilde)

$Length = 20 # Parola uzunlugu
$RandomPassword = -join (33..126 | Get-Random -Count $Length | ForEach-Object {[char]$_})
$RandomPassword

Umarım yararlı olmuştur. – I hope it was useful.