Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Pourquoi effectuer ces actions
Le chiffrement DES utilise une clé sur 56 bits pour chiffrer le contenu et est maintenant considéré comme non sécurisé. Par conséquent, les comptes qui peuvent utiliser DES pour authentifier les services présentent un risque considérablement plus élevé de voir la séquence d’ouverture de session de ce compte déchiffrée et ce compte compromis.
Regardez un ingénieur client expliquer le problème
Contexte et meilleures pratiques
DES est considéré comme une méthode de chiffrement faible et n’est plus activé par défaut dans l’authentification Kerberos dans Windows 7 et Windows Server 2008 R2.
Ce paramètre était requis si le comptes d’utilisateur ou l’approbation s’exécutait sur un système d’exploitation, une plateforme Java ou une version Kerberos qui ne prenait pas en charge RC4. Par conséquent, le compte a été modifié pour prendre uniquement en charge DES. Cette exigence peut également s’appliquer aux approbations avec des domaines Kerberos non Windows plus anciens. Même si le système d’exploitation ou la plateforme a été mis à niveau pour prendre en charge RC4 ou AES (Advanced Encryption Standard), les comptes n’ont peut-être pas été mis à jour et utiliseront toujours uniquement DES. Un autre problème peut survenir, une application peut contenir des types de chiffrement Kerberos codés de manière irréversible.
Comme la longueur de clé pour DES est uniquement 56 bits, il est admis que même un ordinateur non spécialisé peut déchiffrer du contenu DES en moins de deux jours. Par conséquent, il convient de supprimer ce paramètre, le cas échéant.
Actions suggérées
Pour tous les comptes d’utilisateur identifiés, examinez les conditions requises pour que les comptes utilisent le chiffrement DES standard, et supprimez ensuite l’option Utiliser les types de chiffrement DES via Kerberos pour ce compte**.**
L’applet suivant identifiera tous les comptes d’utilisateur où le cryptage DES est activé.
Get-ADUser -Filter {UserAccountControl -band 0x200000}
En savoir plus
Pour obtenir des conseils supplémentaires et des recommandations de correction au sujet de ce problème, consultez l’analyseur de bonnes pratiques pour le problème Active Directory AD DS : les comptes d’utilisateur et les approbations de ce domaine ne doivent pas être configurés pour DES uniquement, https://technet.microsoft.com/library/ff646918(WS.10).aspx