Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve as entradas do Registro sobre o protocolo de autenticação Kerberos versão 5 e a configuração do KDC (Centro de Distribuição de Chaves).
Número original do KB: 837361
Resumo
Kerberos é um mecanismo de autenticação usado para verificar a identidade do usuário ou do host. Kerberos é o método de autenticação preferencial para serviços no Windows.
Se você estiver usando o Windows, poderá modificar os parâmetros do Kerberos para ajudar na solução dos problemas de autenticação Kerberos ou testar o protocolo Kerberos. Para fazer isso, adicione ou modifique as entradas do Registro listadas nas seções a seguir.
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em, é possível restaurar o Registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, consulte Como fazer backup e restaurar o Registro no Windows.
Observação
Depois de concluir a solução de problemas ou testar o protocolo Kerberos, remova todas as entradas do Registro adicionadas. Caso contrário, o desempenho do seu computador pode ser afetado.
Entradas de registro e valores na chave Parâmetros
As entradas do registro listadas nesta seção devem ser adicionadas à seguinte subchave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Observação
Se a chave Parameters não estiver listada em Kerberos, você deverá criar a chave.
Entrada: SkewTime
Tipo: REG_DWORD
Valor padrão: 5 (minutos)
Esse valor é a diferença de tempo máxima permitida entre o computador cliente e o servidor que aceita a autenticação Kerberos ou o KDC.
Observação
O SkewTime é considerado na determinação da validade do tíquete Kerberos para reutilização. Um ticket é considerado expirado se o tempo de expiração for menor que o tempo atual + o SkewTime. Por exemplo, se o SkewTime for definido como 20 minutos e a hora atual for 08:00, qualquer ticket com um tempo de expiração anterior às 08:20 será considerado expirado.
Entrada: LogLevel
Tipo: REG_DWORD
Valor padrão: 0
Esse valor indica se os eventos são registrados no log de eventos do sistema. Se esse valor for definido como qualquer valor diferente de zero, todos os eventos relacionados ao Kerberos serão registrados no log de eventos do sistema.
Observação
Os eventos registrados podem incluir falsos positivos em que o cliente Kerberos tenta novamente com diferentes sinalizadores de solicitação que são bem-sucedidos. Portanto, não suponha que você tenha um problema de Kerberos ao ver um evento registrado com base nessa configuração. Para obter mais informações, consulte Como habilitar o log de eventos Kerberos.
Entrada: MaxPacketSize
Tipo: REG_DWORD
Valor padrão: 1465 (bytes)
Esse valor é o tamanho máximo do pacote UDP (User Datagram Protocol). Se o tamanho do pacote exceder esse valor, o TCP será usado.
O padrão para esse valor no Windows Vista e na versão posterior do Windows é 0, portanto, o UDP nunca é usado pelo Windows Kerberos Client.
Entrada: StartupTime
Tipo: REG_DWORD
Valor padrão: 120 (segundos)
Esse valor é o tempo que o Windows aguarda o início do KDC antes que o Windows desista.
Entrada: KdcWaitTime
Tipo: REG_DWORD
Valor padrão: 10 (segundos)
Esse valor é o tempo que o Windows aguarda uma resposta de um KDC.
Entrada: KdcBackoffTime
Tipo: REG_DWORD
Valor padrão: 10 (segundos)
Esse valor é o tempo entre chamadas sucessivas para o KDC se a chamada anterior falhar.
Entrada: KdcSendRetries
Tipo: REG_DWORD
Valor padrão: 3
Esse valor é o número de vezes que um cliente tentará entrar em contato com um KDC.
Entrada: DefaultEncryptionType
Tipo: REG_DWORD
Esse valor indica o tipo de criptografia padrão para pré-autenticação. O valor padrão é 18 decimais para AES256
Outros valores possíveis:
- 17 decimais para AES128
- 23 decimais para RC4 HMAC
Esse valor indica o tipo de criptografia padrão para pré-autenticação.
Entrada: FarKdcTimeout
Tipo: REG_DWORD
Valor padrão: 10 (minutos)
É o valor de tempo limite usado para invalidar um controlador de domínio de outro site no cache do controlador de domínio.
Entrada: NearKdcTimeout
Tipo: REG_DWORD
Valor padrão: 30 (minutos)
É o valor de tempo limite usado para invalidar um controlador de domínio no mesmo site no cache do controlador de domínio.
Entrada: StronglyEncryptDatagram
Tipo: REG_BOOL
Valor padrão: FALSE
Esse valor contém um sinalizador que indica se a criptografia de 128 bits deve ser usada para pacotes de datagrama.
Entrada: MaxReferralCount
Tipo: REG_DWORD
Valor padrão: 6
Esse valor é o número de referências do KDC que um cliente busca antes de desistir.
Entrada: MaxTokenSize
Tipo: REG_DWORD
Valor padrão: 12000 (Decimal). A partir do Windows Server 2012 e do Windows 8, o valor padrão é 48000.
Esse valor é o valor máximo do token Kerberos. A Microsoft recomenda que você defina esse valor como menor que 65535. Para obter mais informações, consulte Problemas com a autenticação Kerberos quando um usuário pertence a muitos grupos.
Entrada: SpnCacheTimeout
Tipo: REG_DWORD
Valor padrão: 15 minutos
Esse valor é usado pelo sistema ao limpar entradas de cache SPN (Nomes de Entidade de Serviço). Em controladores de domínio, o cache SPN é desabilitado. Os clientes e servidores membros usam esse valor para envelhecer e limpar entradas de cache negativas (SPN não encontrado). As entradas de cache SPN válidas (por exemplo, não o cache negativo) não são excluídas após 15 minutos de criação. No entanto, o valor SPNCacheTimeout também é usado para reduzir o cache SPN para um tamanho gerenciável – quando o cache SPN atingir 350 entradas, o sistema usará esse valor para
scavenge / cleanup
entradas antigas e não utilizadas.
Entrada: S4UCacheTimeout
Tipo: REG_DWORD
Valor padrão: 15 minutos
Esse valor é o tempo de vida das entradas de cache negativas do S4U usadas para restringir o número de solicitações de proxy do S4U de um computador específico.
Entrada: S4UTicketLifetime
Tipo: REG_DWORD
Valor padrão: 15 minutos
Esse valor é o tempo de vida dos tíquetes obtidos por solicitações de proxy S4U.
Entrada: RetryPdc
Tipo: REG_DWORD
Valor padrão: 0 (falso)
Valores possíveis: 0 (falso) ou qualquer valor diferente de zero (verdadeiro)
Esse valor indica se o cliente entrará em contato com o controlador de domínio primário para Solicitações de Serviço de Autenticação (AS_REQ) se o cliente receber um erro de expiração de senha.
Entrada: RequestOptions
Tipo: REG_DWORD
Valor padrão: qualquer valor RFC 1510
Esse valor indica se há mais opções que devem ser enviadas como opções do KDC em solicitações de serviço de concessão de tíquete (TGS_REQ).
Entrada: ClientIpAddresses
Tipo: REG_DWORD
Valor padrão: 0 (Essa configuração é 0 devido a problemas de conversão de endereço de rede e Dynamic Host Configuration Protocol.)
Valores possíveis: 0 (falso) ou qualquer valor diferente de zero (verdadeiro)
Esse valor indica se um endereço IP do cliente será adicionado em AS_REQ para forçar o
Caddr
campo a conter endereços IP em todos os tickets.Para realms de terceiros que exigem endereços de cliente, é possível ativar seletivamente os endereços:
Abra uma janela de prompt de comando elevado.
Execute o comando a seguir:
ksetup /setrealmflags <your Kerberos realm name> sendaddress
Você pode usar a
/server
opção para permitir que o ksetup faça as alterações em um computador remoto.
Entrada: TgtRenewalTime
Tipo: REG_DWORD
Valor padrão: 600 segundos
Esse valor é o tempo que o Kerberos aguarda antes de tentar renovar um TGT (Ticket de Concessão de Tíquete) antes que o tíquete expire.
Entrada: AllowTgtSessionKey
Tipo: REG_DWORD
Valor padrão: 0
Valores possíveis: 0 (falso) ou qualquer valor diferente de zero (verdadeiro)
Esse valor indica se as chaves de sessão são exportadas com autenticação TGT inicial ou entre regiões. O valor padrão é false por motivos de segurança.
Observação
Com o Credential Guard ativo no Windows 10 e versões posteriores do Windows, você não pode mais habilitar o compartilhamento das chaves de sessão TGT com aplicativos.
Entradas e valores do Registro na chave Kdc
As entradas do registro listadas nesta seção devem ser adicionadas à seguinte subchave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Observação
Se a chave Kdc não estiver listada em Serviços, você deverá criar a chave.
Entrada: KdcUseClientAddresses
Tipo: REG_DWORD
Valor padrão: 0
Valores possíveis: 0 (falso) ou qualquer valor diferente de zero (verdadeiro)
Esse valor indica se os endereços IP serão adicionados na Resposta do Serviço de Concessão de Tíquete (TGS_REP).
Entrada: KdcDontCheckAddresses
Tipo: REG_DWORD
Valor padrão: 1
Valores possíveis: 0 (falso) ou qualquer valor diferente de zero (verdadeiro)
Esse valor indica se os endereços IP do TGS_REQ e do campo TGT
Caddr
serão verificados.
Entrada: NewConnectionTimeout
Tipo: REG_DWORD
Valor padrão: 10 (segundos)
Esse valor é o tempo em que uma conexão de ponto de extremidade TCP inicial será mantida aberta para receber dados antes de se desconectar.
Entrada: MaxDatagramReplySize
Tipo: REG_DWORD
Valor padrão: 1465 (decimal, bytes)
Esse valor é o tamanho máximo do pacote UDP em mensagens TGS_REP e Respostas do Serviço de Autenticação (AS_REP). Se o tamanho do pacote exceder esse valor, o KDC retornará uma mensagem "KRB_ERR_RESPONSE_TOO_BIG" solicitando que o cliente alterne para TCP.
Observação
Aumentar MaxDatagramReplySize pode aumentar a probabilidade de pacotes UDP Kerberos serem fragmentados.
Para obter mais informações sobre esse problema, consulte Como forçar o Kerberos a usar TCP em vez de UDP no Windows.
Entrada: KdcExtraLogLevel
Tipo: REG_DWORD
Valor padrão: 2
Valores possíveis:
- 1 (decimal) ou 0x1 (hexadecimal): Audite erros de SPN desconhecidos no log de eventos de segurança. A ID do evento 4769 é registrada com uma auditoria com falha.
- 2 (decimal) ou 0x2 (hexadecimal): Registre erros de PKINIT. Isso registra uma ID de evento de aviso do KDC 21 (habilitada por padrão) no log de eventos do sistema. PKINIT é um rascunho da Internet da Internet Engineering Task Force (IETF) para Criptografia de Chave Pública para Autenticação Inicial em Kerberos.
- 4 (decimal) ou 0x4 (hexadecimal): registre todos os erros do KDC. Isso registra uma ID de evento KDC 24 (exemplo de problemas necessários de U2U) no log de eventos do sistema.
- 8 (decimal) ou 0x8 (hexadecimal): registre um ID de evento de aviso KDC 25 no log do sistema quando o usuário que solicita o tíquete S4U2Self não tiver acesso suficiente ao usuário de destino.
- 16 (decimal) ou 0x10 (hexadecimal): Registre eventos de auditoria no tipo de criptografia (ETYPE) e erros de opções incorretas. Esse valor indica quais informações o KDC gravará nos logs de eventos e nas auditorias no log de eventos de segurança. A ID do evento 4769 é registrada com uma auditoria com falha.
Entrada: DefaultDomainSupportedEncTypes
Tipo: REG_DWORD
Valor padrão: 0x27
Valores possíveis:
O valor padrão é 0x27 (chaves de sessão DES, RC4, AES). Recomendamos definir o valor como 0x3C para aumentar a segurança, pois esse valor permite tíquetes criptografados por AES e chaves de sessão AES. Se você mudar para um ambiente somente AES em que o RC4 não é usado para o protocolo Kerberos, recomendamos definir o valor como 0x38.
Esse valor define o AES como o tipo de criptografia padrão para chaves de sessão em contas que não estão marcadas com um tipo de criptografia padrão.
Para obter mais informações, consulte KB5021131: Como gerenciar as alterações do protocolo Kerberos relacionadas ao CVE-2022-37966.