Active Directory - Reset the krbtgt password
من عمليات الصيانه الوقائيه preventive maintenance الملزمه من اداره Operation او من العمليات الضروريه فى حاله حدوث اختراق للشبكه وكمان جزء مهم من عمليه Active Directory Forest Recovery هى عمل Reset للباسورد الخاصه بالمستخدم krbtgt
وعشان تعرف ايه هو krbtgt User وايه فايدته محتاج تراجع المقال ده Kerberos authentication protocol – Mahmoud Atef (mmansy.com)
وكمان لو محتاج تعرف ايه هى الهجمات اللى بتهدد Kerberos وانواعها المختلفه فاانت محتاج تراجع المقال ده Kerberos authentication protocol 2 – Mahmoud Atef (mmansy.com)
زى ماشوفنا اهميه krbtgt User فى تشفيرTGT الخاصه باليوزر اللى هيستخدمها بعد كده انه يقدر ياكسس بيها على سرفيس معينه وشوفنا التهديدات والهجمات اللى بيحاول من خلالها الهكر انه يسرق الباسورد هاش الخاصه krbtgt User
ومن العمليات الدوريه والوقائيه المهمه هو اننا نعمل Reset للباسورد الخاصه باليوزر ده وكمان يعتبر جزء مهم من عمليات Active Directory Forest Recovery ولكن ده مش موضوعنا دلوقتى وان شاء الله هنتكلم فى مقال منفصل على Active Directory Forest Recovery
ديما هتلاقى طلب من اداره Security كل 6 شهور او كل سنه حسب البولسى الخاصه بالشركه بعمل Reset للباسورد الخاصه krbtgt User فتعالى نشوف ازاى نقدر نعمل Reset للباسورد الخاصه ب krbtgt User بدون ما نعمل اى مشكله فى الشبكه وبدون حتى ما نحتاج نعمل Restart لاجهزه المستخدمين او السرفيرات
الخطوات عمل Reset the krbtgt password
قبل ما اقولك ازاى نقدر نعمل Reset the krbtgt password خلينى اقولك شويه معلومات تخلى بالك منها الاول
– اولا لازم تعرف krbtgt user ليه 2 Password History مش واحد بس زى اى يوزر عادى عشان كده احنا هنحتاج نعمل Reset the krbtgt password مرتين مش مره واحده ولكن بين كل مره ومره على الاقل تستنى 10 ساعات ده فى حاله انك سايب Default Group Policy زى ماهى ماغيرتش فيها حاجه
طيب ليه عشان لو تفتكر ان Maximum lifetime for user ticket اللى موجوده فيDefault Domain Policy مده TGT هى 10 ساعات فبعد ال10 ساعات اليوزر هيروح لل KDC Service هيطلب TGT جديده وهيكون ساعتها TGT استخدمت الباسورد الجديده وبعد ال10 ساعات هنعمل Reset the krbtgt password للمره التانيه وفى الحاله دى هنكون عملنا Reset كامل والباسورد القديمه مابقتش موجوده فى Krbtgt Password History
ونصيحه منى خلى الفرق مابين كل Reset للباسورد على الاقل 24 ساعه عشان كمان تضمن ان DC Replication حصل للباسورد الجديد على كل الدومين كنترولر
طيب ايه اللى هيحصل لو عملت Reset للباسورد مرتين ورا بعض وماستنتش 10 ساعات مابين كل مره والتانيه ساعتها هتحتاج تعمل Restart لكل اجهزه المستخدمين والسرفيرات عشان تروح تاخود TGT جديده
– ثانيا وقبل ما تعمل Reset the krbtgt password لازم تتاكد ان Domain Controller Replication عندك شغال كويس ومافهوش اى مشاكل ولو فى اى مشكله لازم تحلها الاول قبل ماتعمل Reset the krbtgt password
– ماينفعش طبعا نعمل Reset the krbtgt password من على Red Only Domain Controller لازم يكون Writable Domain Controller
طريقه العمل
بكل سهوله ممكن تدوس Right Click على اليوزر وتختار Reset Password وتحط الباسورد الجديده وبعد 10 ساعات تقدر تعمل نفس الخطوات تانى ولكن فى الحاله دى لازم تتاكد كويس اوى قبل ما تعمل الخطوات دى وبعدها ان Domain Controller Replication شغال كويس ومفهوش اى مشاكل
ممكن تستخدم الاسكربت New-KrbtgtKeys.ps1 هو هيقوم بعمل اختبار لكل Domain Controller وكمان هيتاكد من عمليه Replication وهيديك كل المعلومات اللى انت محتاجها زى اخر مره اتعمل Reset password واعدادات Group Policy وغيرها وكمان تقدر تعمل Simulation وتتاكد ان لو عملت Reset للباسورد الخاصه KrbTGT هتم العمليه بدون مشاكل وبعد كل ده تقدر فعلا Reset ويعمل بعدها Replication للدومين كنترولر
طبعا هتطبق الاسكربت ده اول مره وبعد 10 ساعات او بعد 24 ساعه زى ما قولنا هتطبقه للمره تانيه وساعتها هتكون تمت المهمه بنجاح بدون اى مشاكل فى الشبكه
اتمنى اكون فيدتكم ولو بعلومه بسيطه 😊