As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Proteção do diretório Simple AD
<a name="simple_ad_security"></a>

Esta seção descreve considerações para proteger o ambiente do Simple AD.

**Topics**
+ [Como redefinir a senha de uma conta krbtgt do Simple AD](#simple_ad_reset_krbtgt_acct_pswd)

## Como redefinir a senha de uma conta krbtgt do Simple AD
<a name="simple_ad_reset_krbtgt_acct_pswd"></a>

A conta krbtgt desempenha um papel importante nas trocas de tíquetes do Kerberos. A conta do krbtgt é uma conta especial usada para criptografia de tíquetes de concessão de tíquetes (TGT) do Kerberos e desempenha um papel crucial na segurança do protocolo de autenticação Kerberos. No Samba AD, o krbtgt é representado como uma conta de usuário (desabilitada). A senha dessa conta é gerada aleatoriamente no momento em que o domínio é provisionado. O acesso a esse segredo pode resultar em comprometimento total indetectável do domínio, pois novos tíquetes do Kerberos podem ser impressos sem auditoria. Para obter mais informações, consulte a [documentação do Samba](https://wiki.samba.org/index.php/Samba_Security_Documentation#Particularly_critical_secret_attributes). 

 É recomendável alterar essa senha regularmente a cada 90 dias. Você pode redefinir a senha da conta krbtgt de uma instância do Amazon EC2 para Windows associada ao Simple AD.

**nota**  
AWS O Simple AD é desenvolvido com o Samba-AD. O Samba-AD não armazena o hash N-1 para a conta krbtgt. Portanto, quando a senha da conta krbtgt for redefinida, o cliente Kerberos deverá negociar um novo tíquete de concessão de tíquetes (TGT) durante a próxima solicitação de tíquete de serviço (ST). Para minimizar possíveis interrupções no serviço, você deve programar a redefinição de senha da conta krbtgt fora do horário comercial. Essa abordagem reduz os impactos nas operações contínuas e garante uma continuidade tranquila da autenticação.

Os procedimentos a seguir mostram como redefinir a senha da conta krbtgt usando uma instância do Amazon EC2 para Windows.

**Pré-requisitos**
+ Antes de iniciar este procedimento, complete o seguinte:
  + Você associou o domínio de uma instância do EC2 ao diretório Simple AD.
    + Para obter mais informações sobre como associar uma instância do EC2 para Windows, consulte [Associação de uma instância do Amazon EC2 para Windows ao Simple AD Active Directory](simple_ad_launching_instance.md). 
  + Você tem as credenciais de administrador do diretório Simple AD. Você entrará como administrador do diretório Simple AD para esse procedimento.

**nota**  
Alguns, Serviços da AWS como Amazon WorkDocs e Amazon WorkSpaces, criarão um Simple AD em seu nome.

**Redefinição de senha da conta krbtgt do Simple AD**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No console do Amazon EC2, escolha **Instâncias** e selecione a instância do Windows Server. Depois, escolha **Conectar**.

1. Na página **Conectar a instância**, escolha **Cliente RDP**.

1. Na caixa de diálogo **Segurança do Windows**, copie suas credenciais de administrador local no computador do Windows Server para fazer login. O nome de usuário pode estar nos seguintes formatos: `NetBIOS-Name\administrator` ou `DNS-Name\administrator`. Por exemplo, `corp\administrator` seria o nome de usuário se você seguisse o procedimento em [Criação do Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad).

1. Depois de fazer login no computador com Windows Server, abra as **Ferramentas administrativas do Windows** no menu Iniciar, escolhendo a pasta **Ferramentas administrativas do Windows**.  
![Menu Iniciar do Windows mostrando a pasta Ferramentas Administrativas do Windows expandida com as ferramentas do sistema.](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_5.png)

1. No painel de ferramentas administrativas do Windows, abra **Usuários e computadores do Active Directory** escolhendo **Usuário e computadores do Active Directory**.  
![Pasta de Ferramentas Administrativas do Windows mostrando o atalho Usuários e Computadores do Active Directory.](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_6.png)

1. Na janela **Usuários e computadores do Active Directory**, selecione **Visualizar** e, em seguida, escolha **Habilitar recursos avançados**.  
![Exibir menu com a opção Recursos avançados selecionada.](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_7.png)

1. Na janela **Usuários e computadores do Active Directory**, selecione **Usuários** no painel esquerdo.  
![Árvore de navegação de Usuários e Computadores do Active Directory com a pasta Usuários destacada.](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_8.png)

1. Encontre o usuário chamado **krbtgt**, clique com o botão direito nele e selecione **Redefinir senha**.  
![Menu de contexto com a opção Redefinir senha destacada.](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_9.png)

1. Na janela que se abre, digite a nova senha, insira-a novamente e escolha **OK** para redefinir a senha da conta krbtgt.  
![Caixa de diálogo Redefinir senha com campos de senha, opções de caixa de seleção e botões OK e Cancelar.](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_10.png)

1. No painel de ferramentas administrativas do Windows, escolha **Sites e serviços do Active Directory**.  
![Pasta de ferramentas administrativas mostrando sites e serviços do Active Directory, entre outros atalhos.](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_11.png)

1. Na janela Sites e serviços do Active Directory, expanda **Site**, **Nome padrão do primeiro site** e **Servidores**.  
![Console de sites e serviços do Active Directory mostrando o nó de servidores expandido com configurações de NTDS.](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_12.png)

1. Na janela Configurações de NTDS, clique com o botão direito do mouse no servidor e selecione **Replicar agora**.  
![Menu de contexto com a opção Replicar agora destacada para uma conexão nas configurações do NTDS.](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_13.png)

1. Repita as etapas de 13 a 14 para os outros servidores.