Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les entrées de Registre sur le protocole d’authentification Kerberos version 5 et la configuration du Centre de distribution de clés (KDC).
Numéro de base de connaissances d’origine : 837361
Résumé
Kerberos est un mécanisme d’authentification utilisé pour vérifier l’identité de l’utilisateur ou de l’hôte. Kerberos est la méthode d’authentification préférée pour les services dans Windows.
Si vous exécutez Windows, vous pouvez modifier les paramètres Kerberos pour résoudre les problèmes d’authentification Kerberos ou pour tester le protocole Kerberos. Pour ce faire, ajoutez ou modifiez les entrées de Registre répertoriées dans les sections suivantes.
Important
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d’informations sur la sauvegarde et la restauration du registre, voir : Procédure de sauvegarde, de modification et de restauration du Registre dans Windows.
Note
Après avoir terminé la résolution des problèmes ou le test du protocole Kerberos, supprimez toutes les entrées de Registre que vous ajoutez. Sinon, les performances de votre ordinateur peuvent être affectées.
Entrées et valeurs du registre sous la clé des paramètres
Les entrées de registre répertoriées dans cette section doivent être ajoutées à la sous-clé de registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Note
Si la clé Parameters n’est pas répertoriée sous Kerberos, vous devez créer la clé.
Entrée : SkewTime
Type : REG_DWORD
Valeur par défaut : 5 (minutes)
Cette valeur est la différence de temps maximale autorisée entre l’ordinateur client et le serveur qui accepte l’authentification Kerberos ou le KDC.
Note
La référence SkewTime est considérée dans la détermination de la validité du ticket Kerberos à des fins de réutilisation. Un ticket est considéré comme expiré si l’heure d’expiration est inférieure à l’heure actuelle + skewTime. Par exemple, si skewTime est défini sur 20 minutes et que l’heure actuelle est 08:00, tout ticket avec une heure d’expiration avant 08:20 sera considéré comme expiré.
Entrée : LogLevel
Type : REG_DWORD
Valeur par défaut : 0
Cette valeur indique si les événements sont enregistrés dans le journal des événements système. Si cette valeur est définie sur une valeur différente de zéro, tous les événements Kerberos sont enregistrés dans le journal des événements système.
Note
Les événements consignés peuvent inclure des faux positifs dans lesquels le client Kerberos effectue des nouvelles tentatives avec différents indicateurs de requête qui réussissent ensuite. Par conséquent, ne supposez pas que vous rencontrez un problème Kerberos lorsque vous voyez un événement journalisé en fonction de ce paramètre. Pour plus d’informations, consultez Comment activer la journalisation des événements Kerberos.
Entrée : MaxPacketSize
Type : REG_DWORD
Valeur par défaut : 1465 (octets)
Cette valeur est la taille de paquet UDP (User Datagram Protocol) maximale. Si la taille du paquet dépasse cette valeur, TCP est utilisé.
La valeur par défaut de cette valeur dans Windows Vista et la version ultérieure de Windows est 0. Le protocole UDP n’est donc jamais utilisé par le client Kerberos Windows.
Entrée : StartupTime
Type : REG_DWORD
Valeur par défaut : 120 (secondes)
Cette valeur est le moment où Windows attend que le KDC démarre avant que Windows abandonne.
Entrée : KdcWaitTime
Type : REG_DWORD
Valeur par défaut : 10 (secondes)
Cette valeur est le moment où Windows attend une réponse d’un KDC.
Entrée : KdcBackoffTime
Type : REG_DWORD
Valeur par défaut : 10 (secondes)
Cette valeur est l’heure entre les appels successifs au KDC si l’appel précédent a échoué.
Entrée : KdcSendRetries
Type : REG_DWORD
Valeur par défaut : 3
Cette valeur est le nombre de fois où un client tente de contacter un KDC.
Entrée : DefaultEncryptionType
Type : REG_DWORD
Cette valeur indique le type de chiffrement par défaut pour la pré-authentification. La valeur par défaut est 18 décimales pour AES256
Autres valeurs possibles :
- 17 décimales pour AES128
- 23 décimales pour RC4 HMAC
Cette valeur indique le type de chiffrement par défaut pour la pré-authentification.
Entrée : FarKdcTimeout
Type : REG_DWORD
Valeur par défaut : 10 (minutes)
Il s’agit de la valeur de délai d’expiration utilisée pour invalider un contrôleur de domaine à partir d’un autre site dans le cache du contrôleur de domaine.
Entrée : NearKdcTimeout
Type : REG_DWORD
Valeur par défaut : 30 (minutes)
Il s’agit de la valeur de délai d’attente utilisée pour invalider un contrôleur de domaine dans le même site dans le cache du contrôleur de domaine.
Entrée : StronglyEncryptDatagram
Type : REG_BOOL
Valeur par défaut : FALSE
Cette valeur contient un indicateur qui indique s’il faut utiliser le chiffrement 128 bits pour les paquets de datagramme.
Entrée : MaxReferralCount
Type : REG_DWORD
Valeur par défaut : 6
Cette valeur est le nombre de références KDC qu’un client poursuit avant que le client n’abandonne.
Entrée : MaxTokenSize
Type : REG_DWORD
Valeur par défaut : 12000 (décimal). À compter de Windows Server 2012 et Windows 8, la valeur par défaut est 48000.
Cette valeur est la valeur maximale du jeton Kerberos. Microsoft recommande de définir cette valeur sur moins de 65535. Pour plus d’informations, consultez Problèmes liés à l’authentification Kerberos lorsqu’un utilisateur appartient à de nombreux groupes.
Entrée : SpnCacheTimeout
Type : REG_DWORD
Valeur par défaut : 15 minutes
Cette valeur est utilisée par le système lors de la purge des entrées de cache des noms de principal de service (SPN). Sur les contrôleurs de domaine, le cache SPN est désactivé. Les clients et les serveurs membres utilisent cette valeur pour vieillir et vider les entrées de cache négatives (SPN introuvables). Les entrées de cache SPN valides (par exemple, pas le cache négatif) ne sont pas supprimées après 15 minutes de création. Toutefois, la valeur SPNCacheTimeout est également utilisée pour réduire le cache SPN à une taille gérable : lorsque le cache SPN atteint 350 entrées, le système utilise cette valeur pour
scavenge / cleanuples entrées anciennes et inutilisées.
Entrée : S4UCacheTimeout
Type : REG_DWORD
Valeur par défaut : 15 minutes
Cette valeur est la durée de vie des entrées de cache négatives S4U utilisées pour limiter le nombre de requêtes proxy S4U d’un ordinateur particulier.
Entrée : S4UTicketLifetime
Type : REG_DWORD
Valeur par défaut : 15 minutes
Cette valeur est la durée de vie des tickets obtenus par les requêtes proxy S4U.
Entrée : RetryPdc
Type : REG_DWORD
Valeur par défaut : 0 (false)
Valeurs possibles : 0 (false) ou toute valeur non nulle (true)
Cette valeur indique si le client contacte le contrôleur de domaine principal pour les demandes de service d’authentification (AS_REQ) si le client reçoit une erreur d’expiration de mot de passe.
Entrée : RequestOptions
Type : REG_DWORD
Valeur par défaut : toute valeur RFC 1510
Cette valeur indique s’il existe d’autres options qui doivent être envoyées en tant qu’options KDC dans les demandes de service d’octroi de tickets (TGS_REQ).
Entrée : ClientIpAddresses
Type : REG_DWORD
Valeur par défaut : 0 (Ce paramètre est 0 en raison du protocole de configuration de l’hôte dynamique et des problèmes de traduction de l’adresse réseau.)
Valeurs possibles : 0 (false) ou toute valeur non nulle (true)
Cette valeur indique si une adresse IP cliente sera ajoutée dans AS_REQ pour forcer le
Caddrchamp à contenir des adresses IP dans tous les tickets.Pour les domaines tiers qui nécessitent des adresses clientes, vous pouvez activer sélectivement les adresses :
Ouvrez une fenêtre d’invite de commandes avec élévation de privilèges.
Exécutez la commande suivante :
ksetup /setrealmflags <your Kerberos realm name> sendaddressVous pouvez utiliser le
/servercommutateur pour permettre à ksetup d’apporter les modifications sur un ordinateur distant.
Entrée : TgtRenewalTime
Type : REG_DWORD
Valeur par défaut : 600 secondes
Cette valeur est le temps que Kerberos attend avant qu’il tente de renouveler un ticket d’octroi de ticket (TGT) avant l’expiration du ticket.
Entrée : AllowTgtSessionKey
Type : REG_DWORD
Valeur par défaut : 0
Valeurs possibles : 0 (false) ou toute valeur non nulle (true)
Cette valeur indique si les clés de session sont exportées avec l’authentification TGT initiale ou inter-domaines. La valeur par défaut est false pour des raisons de sécurité.
Note
Avec Credential Guard actif dans Windows 10 et versions ultérieures de Windows, vous ne pouvez plus activer le partage des clés de session TGT avec des applications.
Entrées et valeurs du Registre sous la clé Kdc
Les entrées de registre répertoriées dans cette section doivent être ajoutées à la sous-clé de registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Note
Si la clé Kdc n’est pas répertoriée sous Services, vous devez créer la clé.
Entrée : KdcUseClientAddresses
Type : REG_DWORD
Valeur par défaut : 0
Valeurs possibles : 0 (false) ou toute valeur non nulle (true)
Cette valeur indique si les adresses IP seront ajoutées dans la réponse du service d’octroi de tickets (TGS_REP).
Entrée : KdcDontCheckAddresses
Type : REG_DWORD
Valeur par défaut : 1
Valeurs possibles : 0 (false) ou toute valeur non nulle (true)
Cette valeur indique si les adresses IP pour l’TGS_REQ et le champ TGT
Caddrsont vérifiées.
Entrée : NewConnectionTimeout
Type : REG_DWORD
Valeur par défaut : 10 (secondes)
Cette valeur est l’heure à laquelle une connexion de point de terminaison TCP initiale est conservée ouverte pour recevoir des données avant de se déconnecter.
Entrée : MaxDatagramReplySize
Type : REG_DWORD
Valeur par défaut : 1465 (décimal, octets)
Cette valeur correspond à la taille maximale des paquets UDP dans les messages TGS_REP et réponses du service d’authentification (AS_REP). Si la taille du paquet dépasse cette valeur, le KDC retourne un message « KRB_ERR_RESPONSE_TOO_BIG » qui demande au client de basculer vers TCP.
Note
L’augmentation de MaxDatagramReplySize peut augmenter la probabilité que les paquets UDP Kerberos soient fragmentés.
Pour plus d’informations sur ce problème, consultez Comment forcer Kerberos à utiliser TCP au lieu d’UDP dans Windows.
Entrée : KdcExtraLogLevel
Type : REG_DWORD
Valeur par défaut : 2
Valeurs possibles :
- 1 (décimal) ou 0x1 (hexadécimal) : auditez les erreurs SPN inconnues dans le journal des événements de sécurité. L’ID d’événement 4769 est journalisé avec un audit ayant échoué.
- 2 (décimal) ou 0x2 (hexadécimal) : erreurs PKINIT de journal. Cela enregistre un ID d’événement d’avertissement KDC 21 (activé par défaut) dans le journal des événements système. PKINIT est un brouillon Internet d’Internet Engineering Task Force (IETF) pour le chiffrement à clé publique pour l’authentification initiale dans Kerberos.
- 4 (décimal) ou 0x4 (hexadécimal) : journaliser toutes les erreurs KDC. Cela consigne un ID d’événement KDC 24 (exemple de problèmes requis par U2U) dans le journal des événements système.
- 8 (décimal) ou 0x8 (hexadécimal) : journaliser un ID d’événement d’avertissement KDC 25 dans le journal système lorsque l’utilisateur qui demande le ticket S4U2Self n’a pas suffisamment d’accès à l’utilisateur cible.
- 16 (décimal) ou 0x10 (hexadécimal) : événements d’audit de journal sur le type de chiffrement (ETYPE) et erreurs d’options incorrectes. Cette valeur indique les informations que le KDC écrit dans les journaux des événements et dans les audits dans le journal des événements de sécurité. L’ID d’événement 4769 est journalisé avec un audit ayant échoué.
Entrée : DefaultDomainSupportedEncTypes
Type : REG_DWORD
Valeur par défaut : 0x27
Valeurs possibles :
La valeur par défaut est 0x27 (DES, RC4, clés de session AES). Nous vous recommandons de définir la valeur sur 0x3C pour une sécurité accrue, car cette valeur permet à la fois les tickets chiffrés par AES et les clés de session AES. Si vous passez à un environnement AES uniquement où RC4 n’est pas utilisé pour le protocole Kerberos, nous vous recommandons de définir la valeur sur 0x38.
Cette valeur définit AES comme type de chiffrement par défaut pour les clés de session sur les comptes qui ne sont pas marqués avec un type de chiffrement par défaut.
Pour plus d’informations, consultez KB5021131 : Comment gérer les modifications du protocole Kerberos liées à CVE-2022-37966.