Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Por qué es algo que se debe considerar
El cifrado DES usa una clave de 56 bits para cifrar el contenido; actualmente, dicha clave está considerada como muy insegura. Por este motivo, las cuentas que usen DES para autenticar el acceso a servicios tienen un mayor riesgo de que la secuencia de inicio de sesión de dicha cuenta se descifre, lo que afectaría a la seguridad de la cuenta.
Puedes ver a un ingeniero de clientes explicando el problema
Contexto y prácticas recomendadas
El cifrado de DES se considera débil y ya no está habilitado de forma predeterminada en la autenticación Kerberos en Windows 7 y Windows Server 2008 R2.
Anteriormente, esta configuración era necesaria si la cuenta de usuario o la confianza se ejecutaban en un sistema operativo, plataforma Java o versión de Kerberos no compatibles con RC4. Por lo tanto, la cuenta se ha cambiado para ser solo compatible con DES. Este requisito también puede aplicarse a confianzas con reinos Kerberos más antiguos y distintos de Windows. Incluso si se actualizaba el sistema operativo o la plataforma para hacerlos compatibles con RC4 o con el Estándar de cifrado avanzado (AES), era posible que las cuentas no se actualizaran y que siguieran utilizando únicamente DES. Otro posible problema es que una aplicación podía tener tipos de cifrado Kerberos codificados de forma rígida.
Como la longitud de clave de DES es de solo 56 bits, se considera que incluso un hardware no específico puede acceder al contenido protegido con este cifrado en menos de dos días. Por tanto, se recomienda eliminar esta configuración, de estar presente.
Acciones recomendadas
Revise los requisitos de todas las cuentas de usuario identificadas para utilizar el estándar de cifrado DES y luego quite la opción Usar tipos de cifrado DES de Kerberos para esta cuenta**.**
El siguiente cmdlet identificará todas las cuentas de usuario donde esté habilitado el cifrado DES.
Get-ADUser -Filter {UserAccountControl -band 0x200000}
Más información
Para obtener instrucciones adicionales y recomendaciones de corrección sobre este problema, consulte el Analizador de procedimientos recomendados para el problema de Active Directory AD DS: las cuentas de usuario y las confianzas en este dominio no deben configurarse solo para DES, https://technet.microsoft.com/library/ff646918(WS.10).aspx