Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Perché prenderlo in considerazione
La crittografia DES utilizza una chiave a 56 bit per crittografare il contenuto ed è ora considerata estremamente vulnerabile. Di conseguenza, gli account che possono utilizzare DES per l'autenticazione ai servizi presentano un rischio molto maggiore che la sequenza di accesso all'account venga decodificata e l'account compromesso.
Guarda un Tecnico dei Clienti che spiega il problema
Contesto e Procedure Consigliate
DES è considerata una crittografia debole e non è più abilitata per impostazione predefinita nell'autenticazione Kerberos di Windows 7 e Windows Server 2008 R2.
Questa impostazione è necessaria se l'account utente o il trust sono in esecuzione in un sistema operativo, piattaforma Java o versione Kerberos che non supporta RC4. Pertanto, l'account è stato modificato in modo da supportare solo DES. Questo requisito può anche essere applicato a trust con domini meno recenti, senza Windows Kerberos. Anche se il sistema operativo o la piattaforma sono stati aggiornati per supportare RC4 o AES (Advanced Encryption Standard), gli account potrebbero non essere stati aggiornati e continueranno a utilizzare solo DES. Un altro possibile problema è dovuto al fatto che un'applicazione potrebbe avere dei tipi di crittografia Kerberos hardcoded.
Poiché la lunghezza della chiave DES è solo 56 bit, si ritiene che anche un hardware di computer non specializzato possa compromettere il contenuto crittografato in meno di due giorni. Si consiglia pertanto di rimuovere questa impostazione, se presente.
Azioni consigliate
In tutti gli account utente identificati, rivedere i requisiti per l'utilizzo dello standard di crittografia DES e rimuovere l'opzione** Usare i tipi di crittografia DES Kerberos per questo account.**
Il seguente cmdlet identificherà tutti gli account utente in cui è abilitata la crittografia DES.
Get-ADUser -Filter {UserAccountControl -band 0x200000}
Ulteriori informazioni
Per ulteriori indicazioni e suggerimenti per la correzione su questo problema, vedere best practice analyzer for Active Directory issue AD DS: Gli account utente e le relazioni di trust in questo dominio non devono essere configurati solo per DES, https://technet.microsoft.com/library/ff646918(WS.10).aspx