Temos uma conta de usuário antiga do AD com uma senha estática que é usada em várias máquinas para uma tarefa agendada e um serviço. Sei que o gMSA é melhor e, separadamente, estou no processo de colocá-lo em prática, mas essa conta precisa ficar ativa por mais um tempo.
Voltando a esta conta: Quero alterar a senha para atender aos critérios atuais de força de senha e garantir o hash AES, mas não tenho certeza se preciso alterá-la duas vezes com uma pausa de 10 horas entre elas ou se posso alterá-la consecutivamente e enviar a atualização da senha para os endpoints afetados.
Se alguém puder esclarecer o método de redefinição de intervalo de 2x e 10 horas ou se é possível fazer isso consecutivamente para essa finalidade, eu ficaria grato.
Obrigado!
A pausa de 10 horas tem como objetivo permitir que os tíquetes Kerberos dos usuários expirem , pois eles têm uma duração de 10 horas por padrão (pelo menos no AD).
Kerberos é um sistema de chave compartilhada, onde o hash de senha de uma conta atua diretamente como a chave simétrica para criptografia de tíquetes e, quando seus usuários obtêm tíquetes para um serviço, eles são criptografados usando a chave da conta de serviço (assim como a chave do usuário, mas isso não vem ao caso).
Alterar a senha de uma conta de serviço (ou seja, alterá-la duas vezes para limpar o histórico de senhas do AD) tornará todos os tíquetes já emitidos inválidos e impedirá que usuários que tinham esses tíquetes acessem o serviço. Não tenho 100% de certeza de como a implementação do Kerberos do Windows reage, mas KRB_AP_ERR_MODIFIED seria meu primeiro palpite.
Portanto, se você fizer isso durante o dia útil, quando os clientes provavelmente já obtiveram tíquetes para o serviço, você deve alterar a senha apenas uma vez no início (e implantar nos servidores), para que os tíquetes antigos permaneçam válidos para a chave "antiga" 1 ; depois, deixe os tíquetes antigos expirarem por conta própria (aproximadamente ~10 horas ou qualquer outro tempo de vida útil do tíquete configurado no seu AD) e altere a senha do serviço novamente.
1 Observe que não tenho muita certeza sobre como o histórico de senhas funciona no AD (estou mais familiarizado com as implementações do Kerberos do Unix), mas acho que isso está certo.
A conta krbtgt é a conta que requer duas alterações de senha e, portanto, deve observar o tempo mínimo entre as alterações. Isso ocorre porque o AD permite a senha atual e anterior para essa conta. (Semelhante a contas de confiança).
Em resumo: não é necessário alterar a senha duas vezes, e pode haver impacto quando uma senha for redefinida se tíquetes de serviço existentes estiverem em uso.