darkzonesd
Goto Top

KRBTGT Account Passwortänderung

Moin zusammen,

ich hab mal eine Frage bezüglich Kerberos, bei uns in der Domain ist das Kennwort noch nie geändert worden. Nun wollen wir dies bei der nächsten Wartung mal angehen. Soweit ich es gelesen habe muss man das Kennwort im Idealfall 2 mal ändern um die Chronik zu erneuern und dann den Dienst neu starten.

Ist das soweit richtig oder gibt es noch andere Dinge die man dabei beachten muss? ( es gibt nur einen DC)

Grüße und schönes Wochenende

Content-Key: 5937907449

Url: https://administrator.de/contentid/5937907449

Printed on: April 25, 2024 at 12:04 o'clock

Mitglied: 141986
Solution 141986 Feb 11, 2023 updated at 10:23:48 (UTC)
Goto Top
Moin,

das ist soweit richtig. Nutze am besten das von MS zur Verfügung gestellte Script.

Microsoft KRBTGT Reset script

Du musst das Script aber noch etwas anpassen, damit es auf einem DC mit deutschem OS Layout überhaupt funktioniert.

Zeile 32: If ($RpcPingResult -like "*abgeschlossen*")  
Zeile 54: If ($RepAdminResult -like "*erfolgreich*")  

Habe mit dem Script durchweg gute Erfahrung gemacht.

Grüße
Member: nEmEsIs
Solution nEmEsIs Feb 11, 2023 at 12:08:31 (UTC)
Goto Top
Hi

Also was du beschreibst ist ein doppel reset, wenn man das Kennwort innerhalb kurzer Zeit zweimal resetet.
Macht man im Idealfall, wenn man die Vermutung hat, das ein Angreifer im Netzwerk ist.
Wenn du das kurz hintereinander machst, dann musst du alle System anschließend neu starten.
Du brichst damit die Kette.

Wenn du es nur machst, um das Passwort zu ändern, dann mach es im Abstand großer 10 Stunden.

Es sind immer die letzten zwei Schlüssel bei Kerberos gültig, deswegen der Doppelreset beim Angriff.

Bau das oben genannte Skript in einen Task scheduler und lass es alle 30 Tage, zwei mal größer 10 Stunden hintereinander laufen dann.

10 Stunden weil das Kerberosticket im Standard alle 10 Stunden erneuert wird.
Somit beziehen deine System ein neues Ticket und sind nicht ausgeschlossen.

Mit freundlichen Grüßen Nemesis
Mitglied: 141986
141986 Feb 12, 2023 at 13:03:13 (UTC)
Goto Top
10 Stunden weil das Kerberosticket im Standard alle 10 Stunden erneuert wird.
Nicht nötig. Das Script triggered sofort einen resync womit das dann hinfällig wird.

Grüße