Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Mengapa Pertimbangkan ini
Enkripsi DES menggunakan kunci 56-bit untuk mengenkripsi konten dan sekarang dianggap sangat tidak aman. Oleh karena itu, akun yang dapat menggunakan DES untuk mengautentikasi ke layanan memiliki risiko yang jauh lebih besar karena urutan masuk akun tersebut didekripsi dan akun disusupi.
Tonton Teknisi Pelanggan yang menjelaskan masalahnya
Konteks & Praktik Terbaik
DES dianggap lemah kriptografi dan tidak lagi diaktifkan secara default dalam autentikasi Kerberos di Windows 7 dan Windows Server 2008 R2.
Pengaturan ini digunakan untuk diperlukan jika akun pengguna atau kepercayaan berjalan pada sistem operasi, platform Java, atau versi Kerberos tidak mendukung RC4. Oleh karena itu, akun diubah hanya untuk mendukung DES. Persyaratan ini juga dapat berlaku untuk kepercayaan dengan realm Kerberos non-Windows yang lebih lama. Bahkan jika sistem operasi atau platform ditingkatkan untuk mendukung RC4 atau Advanced Encryption Standard (AES), akun mungkin belum diperbarui dan masih hanya akan menggunakan DES. Kemungkinan masalah lain adalah bahwa aplikasi dapat memiliki jenis enkripsi Kerberos yang dikodekan secara permanen.
Karena Panjang kunci untuk DES hanya 56-bit, dianggap bahwa bahkan perangkat keras komputer yang tidak dispesialisasikan dapat memutus konten terenkripsi DES dalam waktu kurang dari dua hari. Oleh karena itu, Anda disarankan untuk menghapus pengaturan ini jika ada.
Tindakan yang Disarankan
Pada semua akun pengguna yang diidentifikasi, tinjau persyaratan akun apa pun untuk menggunakan standar enkripsi DES lalu hapus opsi Gunakan jenis enkripsi Des Kerberos untuk akunini**.**
Cmdlet berikut akan mengidentifikasi semua akun pengguna tempat enkripsi DES diaktifkan.
Get-ADUser -Filter {UserAccountControl -band 0x200000}
Pelajari Selengkapnya
Untuk panduan tambahan dan rekomendasi remediasi tentang masalah ini, lihat Ad DS masalah Penganalisis Praktik Terbaik untuk Direktori Aktif: Akun pengguna dan kepercayaan di domain ini tidak boleh dikonfigurasi hanya untuk DES.