微软新Krbtgt密钥生成脚本（New-KrbtgtKeys.ps1）使用指南

微软新Krbtgt密钥生成脚本（New-KrbtgtKeys.ps1）使用指南

New-KrbtgtKeys.ps1This script will enable you to reset the krbtgt account password and related keys while minimizing the likelihood of Kerberos authentication issues being caused by the operation.项目地址:https://gitcode.com/gh_mirrors/newk/New-KrbtgtKeys.ps1

项目介绍

New-KrbtgtKeys.ps1 是一个由微软维护的PowerShell脚本，旨在帮助系统管理员安全地旋转Active Directory域中Kerberos Krbtg服务账户的密钥。该脚本对于加强企业网络安全，防止Kerberoasting攻击尤为重要，此类攻击利用了未改变的Krbtgt账户密钥来获取服务票据，进而进行横向移动攻击。通过自动更新这些关键的安全凭据，该工具确保了AD环境的一个重要层面得以加固。

项目快速启动

在使用此脚本之前，请确保你的环境满足以下条件：

• 系统应运行 PowerShell v5.1 或更高版本。
• 用户需具有足够的权限操作域控制器上的Krbtgt账号。

安装与执行步骤：

1. 克隆项目:

   git clone https://github.com/microsoft/New-KrbtgtKeys.ps1.git
   

2. 导入并执行脚本: 打开PowerShell（以管理员身份运行），并导航至脚本所在目录，然后执行脚本：

   cd New-KrbtgtKeys.ps1
   .\New-KrbtgtKeys.ps1
   

   注意：首次运行可能需要使用Set-ExecutionPolicy RemoteSigned命令调整执行策略，允许本地脚本执行。

3. 遵循提示操作: 脚本将引导你完成密钥更换的过程，根据指示操作即可。

应用案例与最佳实践

• 定期密钥轮换: 将密钥轮换纳入日常安全运维计划，比如每季度一次，增强安全性。
• 应急响应：在怀疑域受到威胁时，立即更改Krbtgt密钥，切断潜在的攻击路径。
• 测试环境验证: 在部署到生产环境前，在非生产环境中测试脚本，确保不会影响正常服务。

典型生态项目

虽然直接与本脚本相关的典型生态项目较少公开讨论，但其融入了微软AD管理和安全自动化范畴，与以下方面紧密相关：

• Azure Active Directory Connect：对于混合云环境，确保AD与Azure AD之间同步的安全性。
• PowerShell模块管理：如ActiveDirectory模块，用于更广泛的AD管理任务。
• 安全审计工具：与SIEM（Security Information and Event Management）系统的集成，监控Kerberos事件，进一步提升安全监控能力。

通过运用New-KrbtgtKeys.ps1脚本并与上述生态项目结合，组织可以构建更加坚固的网络安全防线，有效应对现代威胁。

New-KrbtgtKeys.ps1This script will enable you to reset the krbtgt account password and related keys while minimizing the likelihood of Kerberos authentication issues being caused by the operation.项目地址:https://gitcode.com/gh_mirrors/newk/New-KrbtgtKeys.ps1