Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Warum sollte man dies in Betracht ziehen?
Die DES-Verschlüsselung verschlüsselt Inhalte mit einem 56-Bit-Schlüssel und gilt inzwischen als extrem unsicher. Daher besteht bei Konten, die DES zur Authentifizierung von Diensten einsetzen, ein erheblich größeres Risiko, dass die Anmeldesequenz des Kontos entschlüsselt und das Konto kompromittiert wird.
Schauen Sie einem Customer Engineer zu, der das Problem erklärt
Kontext und bewährte Vorgehensweisen
DES gilt als schwache Verschlüsselung und ist nicht mehr standardmäßig in der Kerberos-Authentifizierung unter Windows 7 und Windows Server 2008 R2 aktiviert.
In der Vergangenheit war diese Einstellung erforderlich, wenn das Benutzerkonto oder die Vertrauensstellung auf einem Betriebssystem, einer Java-Plattform oder Kerberos-Version lief, die RC4 nicht unterstützte. Daher wurde das Konto so geändert, dass es nur DES unterstützt. Dies gilt auch für Vertrauensstellungen mit älteren Bereichen auf anderen Systemen als Windows. Selbst wenn das Betriebssystem oder die Plattform aktualisiert wurde, um RC4 oder den Advanced Encryption Standard (AES) zu unterstützen, kann es sein, dass die Konten nicht aktualisiert wurden und weiterhin nur DES verwenden. Ein weiteres Problem könnte sein, dass die Anwendung hartcodierte Kerberos-Verschlüsselungstypen aufweist.
Da die Schlüssellänge für DES nur 56-Bit beträgt, wird davon ausgegangen, dass auch nicht spezialisierte Computerhardware mittels DES verschlüsselte Inhalte in weniger als zwei Tagen knacken kann. Es wird daher empfohlen, diese Einstellung zu entfernen (sofern vorhanden).
Empfohlene Maßnahmen
Überprüfen Sie für alle identifizierten Benutzerkonten, ob diese wirklich den DES-Verschlüsselungsstandard verwenden müssen, und deaktivieren Sie die Option Kerberos-DES-Verschlüsselungstypen für dieses Konto verwenden**.**
Das folgende Cmdlet stellt alle Benutzerkonten mit aktivierter DES-Verschlüsselung fest.
Get-ADUser -Filter {UserAccountControl -band 0x200000}
Weitere Informationen
Weitere Anleitungen und Empfehlungen zur Behebung dieses Problems finden Sie unter dem Thema „Best Practice Analyzer für Active Directory“ ad ds: Benutzerkonten und Vertrauensstellungen in dieser Domäne sollten nicht nur für DES konfiguriert werden. https://technet.microsoft.com/library/ff646918(WS.10).aspx