Бележка
Достъпът до тази страница изисква удостоверяване. Можете да опитате да влезете или да промените директориите.
Достъпът до тази страница изисква удостоверяване. Можете да опитате да промените директориите.
Защо да помислите за това
DES криптирането използва 56-битов ключ за криптиране на съдържанието и сега се счита за силно несигурно. Следователно акаунтите, които могат да използват DES за удостоверяване към услугите, са изложени на значително по-голям риск от декриптиране на последователността на влизане в този акаунт и компрометиране на акаунта.
Гледайте как инженер по клиенти обяснява проблема
Контекст и най-добри практики
DES се счита за слаба криптография и вече не е активиран по подразбиране в удостоверяването на Kerberos в Windows 7 и Windows Server 2008 R2.
Тази настройка се изискваше, ако потребителският акаунт или тръстът се изпълняваха на операционна система, Java платформа или версията на Kerberos не поддържаха RC4. Поради това акаунтът беше променен да поддържа само DES. Това изискване може да се прилага и за тръстове с по-стари царства на Kerberos, които не са на Windows. Дори ако операционната система или платформата са надстроени, за да поддържат RC4 или Advanced Encryption Standard (AES), акаунтите може да не са актуализирани и да продължат да използват само DES. Друг възможен проблем е, че дадено приложение може да има твърдо кодирани типове криптиране на Kerberos.
Тъй като дължината на ключа за DES е само 56-битова, се счита, че дори неспециализиран компютърен хардуер може да разбие DES-криптирано съдържание за по-малко от два дни. Следователно се препоръчва да премахнете тази настройка, ако има такава.
Предложени действия
За всички идентифицирани потребителски акаунти прегледайте всички изисквания към акаунтите да използват стандарта за шифроване DES и след това премахнете опцията Използване на типове шифроване на Kerberos DES за този акаунт**.**
Следващата кратка команда ще идентифицира всички потребителски акаунти, където е разрешено DES криптиране.
Get-ADUser -filter {UserAccountControl -band 0x200000}
Научете повече
За допълнителни насоки и препоръки за отстраняване на този проблем вижте Анализатор на най-добри практики за проблем с Active Directory AD DS: Потребителските акаунти и доверието в този домейн не трябва да се конфигурират само за DES, https://technet.microsoft.com/library/ff646918(WS.10).aspx