Krbtgt Account Password Reset işlemini anlatacağım.
Öncelikle nedir bu Krbtgt hesabı derseniz, Active directory’deki krbtgt hesabı Active directory KDC (The Key Distribution Center ) servisinin servis hesabı olarak düşünebilirsiniz.
krbtgt hesabı yeni bir Active Directory kurulumunda otomatik oluşan default hesaplardan birisidir. Bu hesap bazı kısıtlara tabidir bunlar; İsmi değiştirilemez, silinemez ve hesap disable’dır enable hale getirilemez. Bu KDC servisinin çalışmasını sağlayan hesaptır. Görevi ise KDC (Key Distribution Center) servisi için servis hesabı olarak kullanılır.
Çalışma şekli ise; Domain yapısında bulunan kullanıcıların Ticket-Granting-Ticket (TGT) taleplerini krbtgt hesabının şifresinden ürettiği anahtar ile şifreler. Bu ticket gönderilmeden önce şifre ile hash’lenir.
Talebi yapan kullanıcı TGT ile authentication talebi yaptığı sunucuya girmiş olur.
Bu nedenle krbtgt hesabının şifresi ele geçirilir ise AD içindeki kullanıcıların kimliğini kopyalayarak güvenlik açığına sebep olacaktır.
Microsoft mutlaka her 6 ayda 1 kez 1 gün ara ile mutlaka iki kere değiştirilmesi önerilmektedir.
Neden İki Kere Sıfırlanmalı?
Kerberos account password history değeri son 2 parolayı hatırlayacak şekildedir. Bu sebep ile iki kez sıfırlamak daha önceki parolaları sıfırlamak anlamına geliyor. Ancak krbtgt hesabının şifresini peş peşe değiştirilmesi önerilmemektedir. Sebebine gelecek olursak yapımızda bulunan tüm DC’lerde şifrenin replike edilmesi ve olası bir sorun yaşanmaması içindir.
Krbtgt Password Sıfırlama
Öncelikle Yapımızdaki account için şifre değiştirilme tarihine göz atalım. Bunun için gerekli komut setimiz aşağıdaki gibidir.
Get-aduser krbtgt -properties passwordlastset
Password resetleme ile ilgili Script dosyasına buradan erişim sağlayabilirsiniz.
Şimdi indirdiğimiz Script dosyasını çalıştıralım.
Komutu çalıştırdıktan sonra karşımıza gelen ekranda Yes ile ilerliyoruz.
Script çalışmaya başladı.
Select the Mode of Operation menüsü gelene kadar script bir kaç kere çift tıklama isteyecektir.
Şimdi Password resetleme öncesi sistemi kontrol etmenizi tavsiye ederim. Bunun için 5 numaralı “5 – Simulation Mode | Use KrbTgt PROD/REAL Accounts – No Password Reset/WhatIf Mode!” seçenek ile devam ediyoruz.
FQDN bilgisi istenmekte. FQDN ismimizi girip enter ile devam ediyoruz.
Tekrar FQDN bilgisi istenmekte. Giriş yapıp Enter ile devam ediyoruz.
Karşımıza gelen seçeneklerden 1 ile devam ediyoruz.
Continue ile devam ediyoruz.
Karşımıza yapımız ile ilgili bilgiler gelmekte. Benim test ortamımda herhangi bir sorun gözükmemekte.
Şimdi Scritp’i tekrar çalıştırıyorum. Seçim ekranı gelince bu sefer 6 “Password Will Be Reset Once” ile devam ediyoruz.
Tekrar FQDN bilgisini giriyoruz.
ikinci seçenekte yine FQDN bilgisini giriyoruz.
Karşımıza gelen ekranda 1 ile devam ediyoruz.
Karşımıza gelen ekrada Continue ile devam ediyoruz.
Şifre başarılı bir şekilde değiştirilmiştir.
Şimdi tekrar password değiştirilme tarihine göz atıyoruz.
Artık Bu işlemi periyodik olarak 6 ayda bir yapmanız faydalı olacaktır.
Krbtgt Account Password Reset isimli yazımın sonuna geldik. Umarım faydalı olur. Herkese sorunsuz ve sağlıklı günler dilerim.
