Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieses Thema für IT-Experten erklärt einige Einschränkungen im Kerberos-Protokoll, die dazu führen können, dass ein böswilliger Benutzer die Kontrolle über ein Benutzerkonto übernimmt. Es gibt eine in der Branche bekannte Einschränkung im Kerberos Network Authentication Service (V5) Standard (RFC 4120), wonach sich ein Angreifer als Benutzer authentifizieren oder das Kennwort dieses Benutzers ändern kann, wenn er den geheimen Schlüssel des Benutzers kennt.
Der Besitz der vom Kennwort eines Benutzers abgeleiteten geheimen Kerberos-Schlüssel (standardmäßig RC4 und Advanced Encryption Standard [AES]) wird beim Austausch des Kerberos-Kennworts gemäß RFC 4757 überprüft. Das Klartext-Kennwort des Benutzers wird dem Key Distribution Center (KDC) niemals zur Verfügung gestellt, und Active Directory-Domänencontroller verfügen standardmäßig nicht über eine Kopie der Klartext-Kennwörter für Konten. Wenn der Domänencontroller keinen Kerberos-Verschlüsselungstyp unterstützt, kann dieser geheime Schlüssel nicht zum Ändern des Kennworts verwendet werden.
In den Windows-Betriebssystemen, die in der Liste „Anwendbar auf“ am Anfang dieses Themas aufgeführt sind, gibt es drei Möglichkeiten, die Möglichkeit der Kennwortänderung durch die Verwendung von Kerberos mit geheimen RC4-Schlüsseln zu blockieren:
Das Benutzerkonto so konfigurieren, dass die Kontooption Smartcard für die interaktive Anmeldung erforderlich ist. Dadurch wird der Benutzer darauf beschränkt, sich nur mit einer gültigen Smartcard anzumelden, sodass RC4-Authentifizierungsdienstanforderungen (AS-REQs) abgelehnt werden. Zum Einstellen der Kontooptionen für ein Konto klicken Sie mit der rechten Maustaste auf das Konto, dann auf „Eigenschaften“ und auf die Registerkarte „Konto“.
Deaktivieren Sie die RC4-Unterstützung für Kerberos auf allen Domänencontrollern. Dies erfordert mindestens eine Domänenfunktionsebene von Windows Server 2008 und eine Umgebung, in der alle Kerberos-Clients, Anwendungsserver und Vertrauensbeziehungen zu und von der Domäne AES unterstützen müssen. Die Unterstützung für AES wurde in Windows Server 2008 und Windows Vista eingeführt.
Hinweis
Es gibt ein bekanntes Problem mit der Deaktivierung von RC4, das zu einem Neustart des Systems führen kann. Beachten Sie die folgenden Hotfixes:
- Windows Server 2012 R2
- Windows Server 2012
- Für frühere Versionen von Windows Server ist kein Hotfix verfügbar
Stellen Sie Domänen bereit, die auf die Domänenfunktionsebene Windows Server 2012 R2 oder höher eingestellt sind, und konfigurieren Sie Benutzer als Mitglieder der Sicherheitsgruppe „Geschützte Benutzer“. Da diese Funktion mehr als nur die Verwendung von RC4 im Kerberos-Protokoll beeinträchtigt, erfahren Sie mehr im folgenden Abschnitt Siehe auch.
Weitere Informationen
Informationen darüber, wie Sie die Verwendung des Verschlüsselungstyps RC4 in Windows Server 2012 R2-Domänen verhindern können, finden Sie unter Sicherheitsgruppe „Geschützte Benutzer“.
Erläuterungen zu RFC 4120 und RFC 4757 finden Sie unter IETF-Dokumente.