darkzonesd
Goto Top

KRBTGT Account Passwortänderung

Moin zusammen,

ich hab mal eine Frage bezüglich Kerberos, bei uns in der Domain ist das Kennwort noch nie geändert worden. Nun wollen wir dies bei der nächsten Wartung mal angehen. Soweit ich es gelesen habe muss man das Kennwort im Idealfall 2 mal ändern um die Chronik zu erneuern und dann den Dienst neu starten.

Ist das soweit richtig oder gibt es noch andere Dinge die man dabei beachten muss? ( es gibt nur einen DC)

Grüße und schönes Wochenende

Content-ID: 5937907449

Url: https://administrator.de/contentid/5937907449

Ausgedruckt am: 24.11.2024 um 00:11 Uhr

141986
Lösung 141986 11.02.2023 aktualisiert um 11:23:48 Uhr
Goto Top
Moin,

das ist soweit richtig. Nutze am besten das von MS zur Verfügung gestellte Script.

Microsoft KRBTGT Reset script

Du musst das Script aber noch etwas anpassen, damit es auf einem DC mit deutschem OS Layout überhaupt funktioniert.

Zeile 32: If ($RpcPingResult -like "*abgeschlossen*")  
Zeile 54: If ($RepAdminResult -like "*erfolgreich*")  

Habe mit dem Script durchweg gute Erfahrung gemacht.

Grüße
nEmEsIs
Lösung nEmEsIs 11.02.2023 um 13:08:31 Uhr
Goto Top
Hi

Also was du beschreibst ist ein doppel reset, wenn man das Kennwort innerhalb kurzer Zeit zweimal resetet.
Macht man im Idealfall, wenn man die Vermutung hat, das ein Angreifer im Netzwerk ist.
Wenn du das kurz hintereinander machst, dann musst du alle System anschließend neu starten.
Du brichst damit die Kette.

Wenn du es nur machst, um das Passwort zu ändern, dann mach es im Abstand großer 10 Stunden.

Es sind immer die letzten zwei Schlüssel bei Kerberos gültig, deswegen der Doppelreset beim Angriff.

Bau das oben genannte Skript in einen Task scheduler und lass es alle 30 Tage, zwei mal größer 10 Stunden hintereinander laufen dann.

10 Stunden weil das Kerberosticket im Standard alle 10 Stunden erneuert wird.
Somit beziehen deine System ein neues Ticket und sind nicht ausgeschlossen.

Mit freundlichen Grüßen Nemesis
141986
141986 12.02.2023 um 14:03:13 Uhr
Goto Top
10 Stunden weil das Kerberosticket im Standard alle 10 Stunden erneuert wird.
Nicht nötig. Das Script triggered sofort einen resync womit das dann hinfällig wird.

Grüße