3
KRBTGT Account Passwortänderung
Moin zusammen,
ich hab mal eine Frage bezüglich Kerberos, bei uns in der Domain ist das Kennwort noch nie geändert worden. Nun wollen wir dies bei der nächsten Wartung mal angehen. Soweit ich es gelesen habe muss man das Kennwort im Idealfall 2 mal ändern um die Chronik zu erneuern und dann den Dienst neu starten.
Ist das soweit richtig oder gibt es noch andere Dinge die man dabei beachten muss? ( es gibt nur einen DC)
Grüße und schönes Wochenende
ich hab mal eine Frage bezüglich Kerberos, bei uns in der Domain ist das Kennwort noch nie geändert worden. Nun wollen wir dies bei der nächsten Wartung mal angehen. Soweit ich es gelesen habe muss man das Kennwort im Idealfall 2 mal ändern um die Chronik zu erneuern und dann den Dienst neu starten.
Ist das soweit richtig oder gibt es noch andere Dinge die man dabei beachten muss? ( es gibt nur einen DC)
Grüße und schönes Wochenende
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5937907449
Url: https://administrator.de/contentid/5937907449
Printed on: May 18, 2024 at 10:05 o'clock
3 Comments
Latest comment
Moin,
das ist soweit richtig. Nutze am besten das von MS zur Verfügung gestellte Script.
Microsoft KRBTGT Reset script
Du musst das Script aber noch etwas anpassen, damit es auf einem DC mit deutschem OS Layout überhaupt funktioniert.
Habe mit dem Script durchweg gute Erfahrung gemacht.
Grüße
das ist soweit richtig. Nutze am besten das von MS zur Verfügung gestellte Script.
Microsoft KRBTGT Reset script
Du musst das Script aber noch etwas anpassen, damit es auf einem DC mit deutschem OS Layout überhaupt funktioniert.
Zeile 32: If ($RpcPingResult -like "*abgeschlossen*")
Zeile 54: If ($RepAdminResult -like "*erfolgreich*") Habe mit dem Script durchweg gute Erfahrung gemacht.
Grüße
1
Hi
Also was du beschreibst ist ein doppel reset, wenn man das Kennwort innerhalb kurzer Zeit zweimal resetet.
Macht man im Idealfall, wenn man die Vermutung hat, das ein Angreifer im Netzwerk ist.
Wenn du das kurz hintereinander machst, dann musst du alle System anschließend neu starten.
Du brichst damit die Kette.
Wenn du es nur machst, um das Passwort zu ändern, dann mach es im Abstand großer 10 Stunden.
Es sind immer die letzten zwei Schlüssel bei Kerberos gültig, deswegen der Doppelreset beim Angriff.
Bau das oben genannte Skript in einen Task scheduler und lass es alle 30 Tage, zwei mal größer 10 Stunden hintereinander laufen dann.
10 Stunden weil das Kerberosticket im Standard alle 10 Stunden erneuert wird.
Somit beziehen deine System ein neues Ticket und sind nicht ausgeschlossen.
Mit freundlichen Grüßen Nemesis
Also was du beschreibst ist ein doppel reset, wenn man das Kennwort innerhalb kurzer Zeit zweimal resetet.
Macht man im Idealfall, wenn man die Vermutung hat, das ein Angreifer im Netzwerk ist.
Wenn du das kurz hintereinander machst, dann musst du alle System anschließend neu starten.
Du brichst damit die Kette.
Wenn du es nur machst, um das Passwort zu ändern, dann mach es im Abstand großer 10 Stunden.
Es sind immer die letzten zwei Schlüssel bei Kerberos gültig, deswegen der Doppelreset beim Angriff.
Bau das oben genannte Skript in einen Task scheduler und lass es alle 30 Tage, zwei mal größer 10 Stunden hintereinander laufen dann.
10 Stunden weil das Kerberosticket im Standard alle 10 Stunden erneuert wird.
Somit beziehen deine System ein neues Ticket und sind nicht ausgeschlossen.
Mit freundlichen Grüßen Nemesis
1 10 Stunden weil das Kerberosticket im Standard alle 10 Stunden erneuert wird.
Nicht nötig. Das Script triggered sofort einen resync womit das dann hinfällig wird.Grüße
