Protección del directorio de Simple AD - AWS Directory Service
Restablecimiento de la contraseña de la cuenta krbtgt

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección del directorio de Simple AD

En esta sección, se describen las consideraciones para proteger su entorno de Simple AD.

Cómo restablecer la contraseña de la cuenta krbtgt de Simple AD

La cuenta krbtgt desempeña un papel importante en los intercambios de tickets Kerberos. La cuenta krbtgt es una cuenta especial que se utiliza para la encriptación del ticket de concesión de ticket (TGT) en Kerberos y desempeña un papel fundamental en la seguridad del protocolo de autenticación Kerberos. En Samba AD, krbtgt se representa como una cuenta de usuario (deshabilitada). La contraseña de esta cuenta se genera de manera aleatoria en el momento en que se aprovisiona el dominio. El acceso al secreto puede poner en peligro la totalidad del dominio de forma indetectable, ya que se pueden imprimir nuevos tickets de Kerberos sin necesidad de auditarlos. Para obtener más información, consulte Samba documentation.

Se recomienda cambiar esta contraseña con regularidad cada 90 días. Puede restablecer la contraseña de la cuenta krbtgt desde una instancia de Amazon EC2 en Windows que esté vinculada a su Simple AD.

nota

AWS Simple AD funciona con Samba-AD. Samba-AD no almacena el hash N-1 de la cuenta krbtgt. Por lo tanto, cuando se restablece la contraseña de la cuenta krbtgt, el cliente de Kerberos deberá negociar un nuevo ticket de concesión de ticket (TGT) en su próxima solicitud de ticket de servicio (ST). Para minimizar posibles interrupciones en el servicio, debe programar el restablecimiento de la contraseña de la cuenta krbtgt fuera del horario laboral. Este enfoque mitiga los impactos en las operaciones en curso y garantiza una continuidad fluida en la autenticación.

En los siguientes procedimientos, se muestra cómo puede restablecer la contraseña de la cuenta krbtgt desde una instancia de Amazon EC2 en Windows.

Requisitos previos

  • Antes de comenzar con este procedimiento, debe completar los siguientes pasos previos:

    • Ha vinculado una instancia de EC2 al dominio del directorio de Simple AD.

    • Tiene las credenciales de administrador del directorio Simple AD. Para este procedimiento, iniciará sesión como administrador del directorio Simple AD.

nota

Algunos Servicios de AWS, como Amazon WorkDocs y Amazon WorkSpaces, crearán un Simple AD en su nombre.

Restablecimiento de la contraseña de la cuenta krbtgt de Simple AD

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En la consola de Amazon EC2, seleccione Instancias y elija la instancia de Windows Server. A continuación, elija Conectar.

  3. En la página Conectarse a la instancia, elija Cliente RDP.

  4. En el cuadro de diálogo Seguridad de Windows, copie sus credenciales de administrador local para el equipo Windows Server e inicie sesión. El nombre de usuario puede tener los siguientes formatos: NetBIOS-Name\administrator o DNS-Name\administrator. Por ejemplo, corp\administrator sería el nombre de usuario si hubiera seguido el procedimiento indicado en Creación de Simple AD.

  5. Una vez que haya iniciado sesión en el equipo de Windows Server, abra Herramientas administrativas de Windows desde el menú de inicio y seleccione la carpeta Herramientas administrativas de Windows.

    Windows Server start menu showing administrative tools and system management options.

  6. En el panel Herramientas administrativas de Windows, abra Usuarios y equipos de Active Directory y seleccione Usuarios y equipos de Active Directory.

    Windows Administrative Tools dashboard showing various system management shortcuts.

  7. En la ventana Usuarios y equipos de Active Directory, seleccione Ver y luego elija Habilitar características avanzadas.

    View menu options in a software interface, with "Advanced Features" selected.

  8. En la ventana Usuarios y equipos de Active Directory, seleccione Usuarios en el panel izquierdo.

    Active Directory Users and Computers folder structure with Users folder highlighted.

  9. Busque el usuario llamado krbtgt, haga clic con el botón derecho sobre él y seleccione Restablecer contraseña.

    Context menu with options including Reset Password, Move, Open Home Page, and Send Mail.

  10. En la nueva ventana, introduzca la nueva contraseña, vuelva a escribirla y, a continuación, pulse Aceptar para restablecer la contraseña de la cuenta krbtgt.

    Password reset dialog with fields for new password, confirmation, and account options.

  11. En el panel Herramientas administrativas de Windows, elija Sitios y servicios de Active Directory.

    Windows Administrative Tools folder showing various Active Directory management shortcuts.

  12. En la ventana Sitios y servicios de Active Directory, expanda Sitio, Default-First-Site-Name y Servidores.

    Active Directory Sites and Services window showing expanded hierarchy with NTDS Settings.

  13. En la ventana Configuración de NTDS, haga clic derecho sobre el servidor y seleccione Replicar ahora.

    Context menu showing "Replicate Now" option selected for a server in NTDS Settings window.

  14. Repita los pasos 13 y 14 para sus otros servidores.