Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dlaczego warto wziąć to pod uwagę
Szyfrowanie DES używa 56-bitowego klucza do szyfrowania zawartości i jest obecnie uważane za wysoce niebezpieczne. W związku z tym konta, które mogą używać DES do uwierzytelniania w usługach mają znacznie większe ryzyko odszyfrowania sekwencji logowania tego konta oraz konta z naruszonymi zabezpieczeniami.
Obejrzyj, jak Inżynier klienta wyjaśnia problem
Kontekst i Najlepsze Praktyki
DES jest uważany za słabą kryptografię i nie jest już domyślnie włączony w uwierzytelnianiu Kerberos w systemach Windows 7 i Windows Server 2008 R2.
To ustawienie było wymagane, gdy konto użytkownika lub zaufanie było uruchomione w systemie operacyjnym, na platformie Java lub jeśli wersja Kerberos nie obsługiwała RC4. W związku z tym konto zostało zmienione do obsługiwania wyłącznie DES. To wymaganie może również dotyczyć relacji zaufania ze starszymi obszarami, nieobsługiwanymi przez protokół Kerberos systemu Windows. Nawet jeśli system operacyjny lub platforma została uaktualniona do obsługi RC4 lub Advanced Encryption Standard (AES), konta mogą nie zostać zaktualizowane i nadal będą używać tylko DES. Innym możliwym problemem jest to, że aplikacja może mieć ustalone typy szyfrowania Kerberos.
Ponieważ długość klucza dla DES to tylko 56 bitów, uważa się, że nawet niewyspecjalizowany sprzęt komputerowy może złamać zawartość szyfrowaną DES w mniej niż dwa dni. W związku z tym zaleca się usunięcie tego ustawienia, jeśli jest ono obecne.
Sugerowane działania
Przejrzyj wszelkie wymagania dotyczące stosowania szyfrowania w standardzie DES na wszystkich zidentyfikowanych kontach użytkowników, a następnie usuń opcję Stosuj typy szyfrowania Kerberos DES dla tego konta**.**
Następujące polecenie cmdlet zidentyfikuje wszystkie konta użytkowników, na których jest włączone szyfrowanie DES.
Get-ADUser -Filter {UserAccountControl -band 0x200000}
Dowiedz się więcej
Aby uzyskać dodatkowe wskazówki i zalecenia dotyczące rozwiązywania problemów, zobacz Analizator najlepszych rozwiązań problemów z usługą Active Directory AD DS: Konta użytkowników i zaufania w tej domenie nie powinny być skonfigurowane tylko dla usługi DES, https://technet.microsoft.com/library/ff646918(WS.10).aspx