V prípade kompromitácie niektorého z doménových radičov hrozí, že sa útočník dostal k heslu krbtgt účtu, vďaka čomu môže začat vystavovať ľubovoľné Kerberos tikety a získať tak práva ktoréhokoľvek používateľa či služby. To je katastrofický scenár, pretože si nikdy nemôžete byť istí, čo všetko tam útočník stihol napáchať a kde všade si ponechal zadné vrátka. V takejto situácii je najbezpečnejšie obnoviť celý AD forest zo zálohy, alebo ho rovno preinštalovať.

Pokiaľ sa rozhodnete pre obnovu forestu, nezabudnite 2-krát po sebe resetovať heslo účtu krbtgt. Táto operácia môže mať tiež nepríjemné následky, lebo si prestanú dôverovať doménové kontroléry a nebude medzi nimi fungovať replikácia. Ak to nastane, je nutné dočasne zakázať službu Kerberos na všetkých serveroch, ktoré zatiaľ nemajú doreplikovanú novú verziu hesla a následne ich reštartovať. Po reštarte si natiahnu Kerberos tikety od serveru s novým heslom a mali by sa s ním úspešne zreplikovať. Potom je na nich možné službu Kerberos znovu spustiť.

Je vidno, že v závislosti od veľkosti prostredia sa jedná o komplikovaný proces náchylný na chyby a výpadky. Páni z Microsoft Consulting Services našťastie zverejnili skript, ktorý tento postup značne zjednodušuje. Stačí spustiť nasledujúcu sekvenciu príkazov a nechať sa previesť Wizardom:

Set-ExecutionPolicy RemoteSigned
.\Reset-KrbtgtInteractive.ps1

Skript pred zmenou najprv overí dostupnosť všetkých doménových kontrolérov a po resete vynúti replikáciu nového hesla na všetky DC.