Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Warum sollte man dies in Betracht ziehen?
Die DES-Verschlüsselung verschlüsselt Inhalte mit einem 56-Bit-Schlüssel und gilt inzwischen als extrem unsicher. Daher besteht bei Konten, die DES zur Authentifizierung von Diensten einsetzen, ein erheblich größeres Risiko, dass die Anmeldesequenz des Kontos entschlüsselt und das Konto kompromittiert wird.
Schauen Sie einem Customer Engineer zu, der das Problem erklärt
Kontext und bewährte Vorgehensweisen
DES gilt als schwache Verschlüsselung und ist in der Kerberos-Authentifizierung unter Windows 7 und Windows Server 2008 R2 nicht mehr standardmäßig aktiviert.
In der Vergangenheit war diese Einstellung erforderlich, wenn das Benutzerkonto oder die Vertrauensstellung auf einem Betriebssystem, einer Java-Plattform oder Kerberos-Version lief, die RC4 nicht unterstützte. Daher wurde das Konto so geändert, dass es nur DES unterstützt. Dies gilt auch für Vertrauensstellungen mit älteren Bereichen auf anderen Systemen als Windows. Selbst wenn das Betriebssystem oder die Plattform so aktualisiert wurde, dass es/sie RC4 oder den Advanced Encryption Standard (AES) unterstützt, wurden Konten ggf. nicht automatisch aktualisiert und es wurde nach wie vor ausschließlich DES verwendet. Ein weiteres Problem könnte sein, dass die Anwendung hartcodierte Kerberos-Verschlüsselungstypen aufweist.
Da die Schlüssellänge für DES nur 56-Bit beträgt, wird davon ausgegangen, dass auch nicht spezialisierte Computerhardware mittels DES verschlüsselte Inhalte in weniger als zwei Tagen knacken kann. Es wird daher empfohlen, diese Einstellung zu entfernen (sofern vorhanden).
Empfohlene Maßnahmen
Überprüfen Sie für alle identifizierten Benutzerkonten, ob diese wirklich den DES-Verschlüsselungsstandard verwenden müssen, und deaktivieren Sie die Option Kerberos-DES-Verschlüsselungstypen für dieses Konto verwenden**.**
Mithilfe des folgenden Cmdlets können alle Benutzerkonten mit aktivierter DES-Verschlüsselung ermittelt werden.
Get-ADUser -Filter {UserAccountControl -band 0x200000}
Weitere Informationen
Weitere Hinweise und Empfehlungen zur Behebung dieses Problems finden Sie im Abschnitt „Best Practice Analyzer für Active Directory-Problem“ AD DS: Benutzerkonten und Vertrauensstellungen in dieser Domäne sollten nicht nur für DES konfiguriert werden.