Modification du mot de passe kerberos (krbtgt)

23 avril 2018 Non Par Rached CHADER

Le compte KRBTGT est un compte local par défaut qui agit en tant que compte de service pour le service KDC (Key Distribution Center). Ce compte ne peut pas être supprimé et le nom du compte ne peut pas être modifié. Le compte KRBTGT ne peut pas être activé dans Active Directory.

KRBTGT est également le nom de principal de sécurité utilisé par le KDC pour un domaine Windows Server, comme spécifié par la RFC 4120. Le compte KRBTGT est l’entité pour le principal de sécurité KRBTGT. Il est créé automatiquement lorsqu’un nouveau domaine est créé.

L’authentification Windows Server Kerberos est obtenue par l’utilisation d’un ticket d’octroi de ticket Kerberos spécial (TGT) chiffré avec une clé symétrique. Cette clé est dérivée du mot de passe du serveur ou du service auquel l’accès est demandé. Le mot de passe TGT du compte KRBTGT est connu uniquement par le service Kerberos. Afin de demander un ticket de session, le TGT doit être présenté au KDC. Le TGT est envoyé au client Kerberos à partir du KDC.

Une seule modification du mot de passe du compte Krbtgt n’a pas d’impact sur l’authentification.

En revanche, si une seconde modification est désirée, il faut s’assurer que la première modification a bien été répliquée sur tous les contrôleurs de domaine, puis que tous les TGTs et TGS émis avec l’ancien mot de passe sont expiré.

Il faut donc compter :

(Durée de réplication complète + expiration des TGTs + expiration des TGS)

Par défaut la durée d’expiration des TGTs est de 10 Heures.

kerberos policy

Par défaut la durée d’expiration des TGS est de 600 minutes.

kerberos policy

Ce script vous permettra de réinitialiser le mot de passe du compte krbtgt et les clés associées tout en minimisant le risque de problèmes d’authentification Kerberos causés par l’opération.

REMARQUE IMPORTANTE : Ce script ne prend actuellement en charge que l’exécution en anglais.

Source du script: https://github.com/zjorz/Public-AD-Scripts/blob/master/Reset-KrbTgt-Password-For-RWDCs-And-RODCs.ps1

  • Copiez le script dans un fichiers .ps1
  • Ouvrez un PowerShell
  • Tapez la commande suivante pour autoriser l’exécution du script

  • Exécutez le script

  • Il vous sera alors demander de lire les informations sur le script
  • Tapez YES
  • Il faudra choisir un mode.
  • Choisissez le – 1 – Mode d’information (pas de changement).
  • Apres avoir vérifié dans le dossier où se situe le script que tout est correct, vous pourrez relancer le script.
  • Choisissez l’option : – 2 – Mode Simulation | Creation d’un Objet temporaire pour tester la convergence de la réplication !
  • Lorsque vous recevrez un message “Quel compte KrbTgt souhaitez vous cibler ?” tapez  – 1 –
  • Apres avoir vérifié dans le dossier où se situe le script que tout est correct, vous pourrez relancer le script.
  • Choisissez l’option : – 8 – Créer un compte TEST KrbTgt
  • Le script va crée un compte de test  “krbtgt_TEST” qui permettra de faire une simulation en mode réel
  • Une fois le compte crée, vous pourrez relancer le script.
  • Choisissez l’option :- 3 – Mode Simulation | Utilisez le compte KrbTgt TEST – Pas de mode de réinitialisation de mot de passe/WhatIf !
  • Apres avoir vérifié dans le dossier où se situe le script que tout est correct, vous pourrez relancer le script.
  • Choisissez l’option : – 9 – Nettoyer le compte TEST KrbTgt
  • Nous allons procéder a la suppression du compte TEST KrbTgt
  • Apres avoir vérifié dans le dossier où se situe le script que tout est correct, vous pourrez relancer le script.
  • Choisissez l’option : – 6 – Mode de réinitialisation réelle | Utilisez le compte KrbTgt PROD – Le mot de passe sera réinitialisé une fois !
  • Nous allons procéder a la réinitialisation du mode passe KRBTGT en mode production

Visits: 9320

Catégorie- Serveurs Windows - Windows 2003 - Windows 2012 - Windows 2019 -Sécurité -Windows 2008 -Windows 2016 Administration système
Mots-clés-KRBTGT -PowerShell -Sécurité -Serveurs windows