Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive le voci del Registro di sistema relative al protocollo di autenticazione Kerberos versione 5 e alla configurazione del Centro distribuzione chiavi (KDC).
Numero KB originale: 837361
Riepilogo
Kerberos è un meccanismo di autenticazione usato per verificare l'identità dell'utente o dell'host. Kerberos è il metodo di autenticazione preferito per i servizi in Windows.
Se si esegue Windows, è possibile modificare i parametri Kerberos per risolvere i problemi di autenticazione Kerberos o per testare il protocollo Kerberos. A tale scopo, aggiungere o modificare le voci del Registro di sistema elencate nelle sezioni seguenti.
Importante
In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedi Come eseguire il backup e il ripristino del Registro di sistema in Windows.
Note
Dopo aver completato la risoluzione dei problemi o il test del protocollo Kerberos, rimuovere tutte le voci del Registro di sistema aggiunte. In caso contrario, le prestazioni del computer potrebbero essere interessate.
Voci e valori di registro nella chiave Parametri
Le voci di registro elencate in questa sezione devono essere aggiunte alla seguente sottochiave di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Note
Se la chiave Parameters non è elencata in Kerberos, è necessario creare la chiave.
Voce: SkewTime
Digitare: REG_DWORD
Valore predefinito: 5 (minuti)
Questo valore è la differenza di tempo massima consentita tra il computer client e il server che accetta l'autenticazione Kerberos o il KDC.
Note
SkewTime viene considerato nella determinazione della validità del ticket Kerberos per il riutilizzo. Un ticket viene considerato scaduto se l'ora di scadenza è minore dell'ora corrente + SkewTime. Ad esempio, se SkewTime è impostato su 20 minuti e l'ora corrente è 08:00, qualsiasi ticket con scadenza prima delle 08:20 verrà considerato scaduto.
Voce: LogLevel
Digitare: REG_DWORD
Valore predefinito: 0
Questo valore indica se gli eventi vengono registrati nel registro eventi di sistema. Se questo valore è impostato su un valore diverso da zero, tutti gli eventi correlati a Kerberos vengono registrati nel registro eventi di sistema.
Note
Gli eventi registrati possono includere falsi positivi in cui il client Kerberos ritenta con flag di richiesta diversi che hanno esito positivo. Pertanto, non presupporre che si sia verificato un problema Kerberos quando viene visualizzato un evento registrato in base a questa impostazione. Per altre informazioni, vedere Come abilitare la registrazione eventi Kerberos.
Voce: MaxPacketSize
Digitare: REG_DWORD
Valore predefinito: 1465 (byte)
Questo valore è la dimensione massima del pacchetto UDP (User Datagram Protocol). Se le dimensioni del pacchetto superano questo valore, viene usato TCP.
Il valore predefinito per questo valore in Windows Vista e versione successiva di Windows è 0, quindi UDP non viene mai usato dal client Kerberos di Windows.
Voce: StartupTime
Digitare: REG_DWORD
Valore predefinito: 120 (secondi)
Questo valore è il tempo in cui Windows attende l'avvio del KDC prima che Windows venga rinunciato.
Voce: KdcWaitTime
Digitare: REG_DWORD
Valore predefinito: 10 (secondi)
Questo valore è il tempo in cui Windows attende una risposta da un KDC.
Voce: KdcBackoffTime
Digitare: REG_DWORD
Valore predefinito: 10 (secondi)
Questo valore è il tempo tra le chiamate successive al KDC se la chiamata precedente non è riuscita.
Voce: KdcSendRetries
Digitare: REG_DWORD
Valore predefinito: 3
Questo valore è il numero di tentativi che un client tenterà di contattare un KDC.
Voce: DefaultEncryptionType
Digitare: REG_DWORD
Questo valore indica il tipo di crittografia predefinito per la pre-autenticazione. Il valore predefinito è 18 decimali per AES256
Altri valori possibili:
- 17 decimali per AES128
- 23 decimali per RC4 HMAC
Questo valore indica il tipo di crittografia predefinito per la pre-autenticazione.
Voce: FarKdcTimeout
Digitare: REG_DWORD
Valore predefinito: 10 (minuti)
Si tratta del valore di timeout usato per invalidare un controller di dominio da un sito diverso nella cache del controller di dominio.
Voce: NearKdcTimeout
Digitare: REG_DWORD
Valore predefinito: 30 (minuti)
Si tratta del valore di timeout usato per invalidare un controller di dominio nello stesso sito nella cache del controller di dominio.
Voce: FortementeEncryptDatagram
Tipo: REG_BOOL
Valore predefinito: FALSE
Questo valore contiene un flag che indica se usare la crittografia a 128 bit per i pacchetti di datagrammi.
Voce: MaxReferralCount
Digitare: REG_DWORD
Valore predefinito: 6
Questo valore è il numero di segnalazioni KDC che un client cerca prima che il client rinuncia.
Voce: MaxTokenSize
Digitare: REG_DWORD
Valore predefinito: 12000 (decimale). A partire da Windows Server 2012 e Windows 8, il valore predefinito è 48000.
Questo valore è il valore massimo del token Kerberos. Microsoft consiglia di impostare questo valore su meno di 65535. Per altre informazioni, vedere Problemi con l'autenticazione Kerberos quando un utente appartiene a molti gruppi.
Voce: SpnCacheTimeout
Digitare: REG_DWORD
Valore predefinito: 15 minuti
Questo valore viene usato dal sistema quando si eliminano le voci della cache SPN (Service Principal Names). Nei controller di dominio la cache SPN è disabilitata. I client e i server membri usano questo valore per escludere ed eliminare le voci di cache negative (SPN non trovato). Le voci della cache SPN valide (ad esempio, non la cache negativa) non vengono eliminate dopo 15 minuti di creazione. Tuttavia, il valore SPNCacheTimeout viene usato anche per ridurre la cache SPN a una dimensione gestibile, quando la cache SPN raggiunge 350 voci, il sistema userà questo valore per
scavenge / cleanuple voci precedenti e inutilizzate.
Voce: S4UCacheTimeout
Digitare: REG_DWORD
Valore predefinito: 15 minuti
Questo valore è la durata delle voci negative della cache S4U usate per limitare il numero di richieste proxy S4U da un determinato computer.
Voce: S4UTicketLifetime
Digitare: REG_DWORD
Valore predefinito: 15 minuti
Questo valore è la durata dei ticket ottenuti dalle richieste proxy S4U.
Voce: RetryPdc
Digitare: REG_DWORD
Valore predefinito: 0 (false)
Valori possibili: 0 (false) o qualsiasi valore diverso da zero (true)
Questo valore indica se il client contatterà il controller di dominio primario per le richieste del servizio di autenticazione (AS_REQ) se il client riceve un errore di scadenza della password.
Voce: RequestOptions
Digitare: REG_DWORD
Valore predefinito: qualsiasi valore RFC 1510
Questo valore indica se sono disponibili altre opzioni che devono essere inviate come opzioni KDC nelle richieste di servizio di concessione ticket (TGS_REQ).
Voce: ClientIpAddresses
Digitare: REG_DWORD
Valore predefinito: 0 (questa impostazione è 0 a causa di problemi di Dynamic Host Configuration Protocol e network address translation).
Valori possibili: 0 (false) o qualsiasi valore diverso da zero (true)
Questo valore indica se un indirizzo IP client verrà aggiunto in AS_REQ per forzare il
Caddrcampo a contenere indirizzi IP in tutti i ticket.Per le aree di autenticazione di terze parti che richiedono indirizzi client, è possibile abilitare in modo selettivo gli indirizzi:
Aprire una finestra del prompt dei comandi con privilegi elevati.
Esegui questo comando:
ksetup /setrealmflags <your Kerberos realm name> sendaddressÈ possibile usare l'opzione
/serverper consentire a ksetup di apportare le modifiche in un computer remoto.
Voce: TgtRenewalTime
Digitare: REG_DWORD
Valore predefinito: 600 secondi
Questo valore è il tempo di attesa di Kerberos prima che tenti di rinnovare un Ticket Granting Ticket (TGT) prima della scadenza del ticket.
Voce: AllowTgtSessionKey
Digitare: REG_DWORD
Valore predefinito: 0
Valori possibili: 0 (false) o qualsiasi valore diverso da zero (true)
Questo valore indica se le chiavi di sessione vengono esportate con autenticazione TGT iniziale o tra aree di autenticazione. Il valore predefinito è false per motivi di sicurezza.
Note
Con Credential Guard attivo in Windows 10 e versioni successive di Windows, non è più possibile abilitare la condivisione delle chiavi di sessione TGT con le applicazioni.
Voci e valori del Registro di sistema sotto la chiave Kdc
Le voci di registro elencate in questa sezione devono essere aggiunte alla seguente sottochiave di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Note
Se la chiave Kdc non è elencata in Servizi, è necessario creare la chiave.
Voce: KdcUseClientAddresses
Digitare: REG_DWORD
Valore predefinito: 0
Valori possibili: 0 (false) o qualsiasi valore diverso da zero (true)
Questo valore indica se gli indirizzi IP verranno aggiunti nella risposta al servizio di concessione ticket (TGS_REP).
Voce: KdcDontCheckAddresses
Digitare: REG_DWORD
Valore predefinito: 1
Valori possibili: 0 (false) o qualsiasi valore diverso da zero (true)
Questo valore indica se gli indirizzi IP per il TGS_REQ e il campo TGT
Caddrverranno controllati.
Voce: NewConnectionTimeout
Digitare: REG_DWORD
Valore predefinito: 10 (secondi)
Questo valore è il momento in cui una connessione endpoint TCP iniziale verrà mantenuta aperta per ricevere i dati prima della disconnessione.
Voce: MaxDatagramReplySize
Digitare: REG_DWORD
Valore predefinito: 1465 (decimal, byte)
Questo valore è la dimensione massima del pacchetto UDP nei messaggi TGS_REP e risposte del servizio di autenticazione (AS_REP). Se le dimensioni del pacchetto superano questo valore, il KDC restituisce un messaggio "KRB_ERR_RESPONSE_TOO_BIG" che richiede che il client passi a TCP.
Note
L'aumento di MaxDatagramReplySize può aumentare la probabilità che i pacchetti UDP Kerberos vengano frammentati.
Per altre informazioni su questo problema, vedere Come forzare Kerberos a usare TCP anziché UDP in Windows.
Voce: KdcExtraLogLevel
Digitare: REG_DWORD
Valore predefinito: 2
Valori possibili:
- 1 (decimale) o 0x1 (esadecimale): controlla errori SPN sconosciuti nel registro eventi di sicurezza. L'ID evento 4769 viene registrato con un controllo non riuscito.
- 2 (decimale) o 0x2 (esadecimale): errori PKINIT del log. In questo modo viene registrato un ID evento di avviso KDC 21 (abilitato per impostazione predefinita) nel registro eventi di sistema. PKINIT è una bozza internet IETF (Internet Engineering Task Force) per la crittografia a chiave pubblica per l'autenticazione iniziale in Kerberos.
- 4 (decimale) o 0x4 (esadecimale): registra tutti gli errori KDC. In questo modo viene registrato un ID evento KDC 24 (esempio di problemi necessari U2U) nel registro eventi di sistema.
- 8 (decimale) o 0x8 (esadecimale): registrare un evento di avviso KDC 25 nel log di sistema quando l'utente che richiede il ticket S4U2Self non ha accesso sufficiente all'utente di destinazione.
- 16 (decimale) o 0x10 (esadecimale): registra gli eventi di controllo sul tipo di crittografia (ETYPE) e gli errori di opzioni non valide. Questo valore indica quali informazioni il KDC scriverà nei registri eventi e per i controlli nel registro eventi di sicurezza. L'ID evento 4769 viene registrato con un controllo non riuscito.
Voce: DefaultDomainSupportedEncTypes
Digitare: REG_DWORD
Valore predefinito: 0x27
Valori possibili:
Il valore predefinito è 0x27 (chiavi di sessione DES, RC4, AES). È consigliabile impostare il valore su 0x3C per una maggiore sicurezza, perché questo valore consente sia i ticket crittografati AES che le chiavi di sessione AES. Se si passa a un ambiente solo AES in cui RC4 non viene usato per il protocollo Kerberos, è consigliabile impostare il valore su 0x38.
Questo valore imposta AES come tipo di crittografia predefinito per le chiavi di sessione negli account che non sono contrassegnati con un tipo di crittografia predefinito.
Per altre informazioni, vedere KB5021131: Come gestire le modifiche al protocollo Kerberos correlate a CVE-2022-37966.