Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Por que Considerar isso
A criptografia DES usa uma chave de 56 bits para criptografar o conteúdo, e agora é considerada altamente insegura. Portanto, as contas que podem usar o DES para autenticação em serviços correm um risco significativamente maior de ter a sequência de logon dessa conta descriptografada, e a conta comprometida por consequência.
Assista à explicação de um Engenheiro de Clientes sobre o problema
Contexto e Práticas Recomendadas
O DES é considerado uma criptografia fraca, e não está mais habilitado por padrão na autenticação Kerberos no Windows 7 e no Windows Server 2008 R2.
Essa configuração costumava ser necessária se a conta de usuário ou a relação de confiança estivesse sendo executada em um sistema operacional, uma plataforma Java ou uma versão Kerberos sem suporte para RC4. Portanto, a conta foi alterada para oferecer suporte somente para o DES. Esse requisito também pode ser aplicado a relações de confiança em realms Kerberos que não utilizam Windows e que são mais antigos. Mesmo que a plataforma ou o sistema operacional tenha sido atualizado para oferecer suporte ao RC4 ou à criptografia AES, as contas podem não ter sido atualizadas e continuarão a usar apenas o DES. Outro problema possível é que um aplicativo pode ter tipos de criptografia Kerberos embutidos no código.
Como o comprimento da Chave para o DES é de apenas de 56 bits, é considerado que mesmo um hardware de computador não especializado pode quebrar um conteúdo criptografado com DES em menos de dois dias. Portanto, é recomendável remover essa configuração se a mesma estiver presente.
Ações sugeridas
Em todas as contas de usuário identificadas, verifique os requisitos de contas que usam o padrão de criptografia DES e, em seguida, remova a opção Usar tipos de criptografia Kerberos DES para esta conta**.**
O comando cmdlet identificará todas as contas de usuário em que a criptografia DES esteja habilitada.
Get-ADUser -Filter {UserAccountControl -band 0x200000}
Saiba Mais
Para obter orientações adicionais e recomendações de correção para este problema, consulte o Analisador de Práticas Recomendadas para Problemas do Active Directory AD DS: as contas de usuário e as confianças neste domínio não devem ser configuradas somente para DES, https://technet.microsoft.com/library/ff646918(WS.10).aspx