Protección del directorio de Simple AD - AWS Directory Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección del directorio de Simple AD

En esta sección, se describen las consideraciones para proteger su entorno de Simple AD.

Cómo restablecer la contraseña de la cuenta krbtgt de Simple AD

La cuenta krbtgt desempeña un papel importante en los intercambios de tickets Kerberos. La cuenta krbtgt es una cuenta especial que se utiliza para la encriptación del ticket de concesión de ticket (TGT) en Kerberos y desempeña un papel fundamental en la seguridad del protocolo de autenticación Kerberos. En Samba AD, krbtgt se representa como una cuenta de usuario (deshabilitada). La contraseña de esta cuenta se genera de manera aleatoria en el momento en que se aprovisiona el dominio. El acceso al secreto puede poner en peligro la totalidad del dominio de forma indetectable, ya que se pueden imprimir nuevos tickets de Kerberos sin necesidad de auditarlos. Para obtener más información, consulte Samba documentation.

Se recomienda cambiar esta contraseña con regularidad cada 90 días. Puedes restablecer la contraseña de la cuenta krbtgt desde Amazon EC2 Windows instanced unido a tu Simple AD.

nota

AWS Simple AD funciona con Samba-AD. Samba-AD no almacena el hash N-1 de la cuenta krbtgt. Por lo tanto, cuando se restablece la contraseña de la cuenta krbtgt, el cliente de Kerberos deberá negociar un nuevo ticket de concesión de ticket (TGT) en su próxima solicitud de ticket de servicio (ST). Para minimizar posibles interrupciones en el servicio, debe programar el restablecimiento de la contraseña de la cuenta krbtgt fuera del horario laboral. Este enfoque mitiga los impactos en las operaciones en curso y garantiza una continuidad fluida en la autenticación.

Los siguientes procedimientos muestran cómo se puede restablecer la contraseña de la cuenta krbtgt desde Amazon EC2 Windows instancia.

Requisitos previos
  • Antes de comenzar con este procedimiento, debe completar los siguientes pasos previos:

nota

Algunos, Servicios de AWS como Amazon WorkDocs y Amazon WorkSpaces, crearán un Simple AD en tu nombre.

Restablecimiento de la contraseña de la cuenta krbtgt de Simple AD
  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En la EC2 consola de Amazon, elige Instances y selecciona Windows Instancia de servidor. A continuación, elija Conectar.

  3. En la página Conectarse a la instancia, elija Cliente RDP.

  4. En el cuadro de diálogo de seguridad de Windows, copie las credenciales de administrador local para Windows Equipo servidor para iniciar sesión. El nombre de usuario puede tener los siguientes formatos: NetBIOS-Name\administrator o DNS-Name\administrator. Por ejemplo, corp\administrator sería el nombre de usuario si hubiera seguido el procedimiento indicado en Creación de Simple AD.

  5. Una vez que haya iniciado sesión en Windows Computadora servidor, abra Windows Herramientas administrativas desde el menú Inicio seleccionando Windows Carpeta de herramientas administrativas.

    Windows Server start menu showing administrative tools and system management options.
  6. En la Windows Panel de herramientas administrativas, abierto Active Directory Usuarios y ordenadores mediante la opción Active Directory Usuario y ordenadores.

    Windows Administrative Tools dashboard showing various system management shortcuts.
  7. En la Active Directory En la ventana Usuarios y ordenadores, seleccione Ver y, a continuación, seleccione Activar funciones avanzadas.

    View menu options in a software interface, with "Advanced Features" selected.
  8. En la Active Directory En la ventana Usuarios y ordenadores, seleccione Usuarios en el panel izquierdo.

    Active Directory Users and Computers folder structure with Users folder highlighted.
  9. Busque el usuario llamado krbtgt, haga clic con el botón derecho sobre él y seleccione Restablecer contraseña.

    Context menu with options including Reset Password, Move, Open Home Page, and Send Mail.
  10. En la nueva ventana, introduzca la nueva contraseña, vuelva a escribirla y, a continuación, pulse Aceptar para restablecer la contraseña de la cuenta krbtgt.

    Password reset dialog with fields for new password, confirmation, and account options.
  11. En la Windows Panel de herramientas administrativas, elija Active Directory Sitios y servicios.

    Windows Administrative Tools folder showing various Active Directory management shortcuts.
  12. En la Active Directory En la ventana Sitios y servicios, expanda Sitio, Nombre del primer sitio predeterminado y Servidores.

    Active Directory Sites and Services window showing expanded hierarchy with NTDS Settings.
  13. En la ventana Configuración de NTDS, haga clic derecho sobre el servidor y seleccione Replicar ahora.

    Context menu showing "Replicate Now" option selected for a server in NTDS Settings window.
  14. Repita los pasos 13 y 14 para sus otros servidores.