Entradas de registro de protocolo Kerberos e chaves de configuração do KDC no Windows
Este artigo descreve as entradas do registro sobre o protocolo de autenticação kerberos versão 5 e a configuração do KDC (Key Distribution Center).
Aplica-se a: Windows 11, Windows 10, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Número de KB Original do Windows Server 2012: 837361
Resumo
Kerberos é um mecanismo de autenticação usado para verificar a identidade do usuário ou do host. Kerberos é o método de autenticação preferencial para serviços no Windows.
Se você estiver executando o Windows, poderá modificar os parâmetros Kerberos para ajudar a solucionar problemas de autenticação Kerberos ou testar o protocolo Kerberos. Para fazer isso, adicione ou modifique as entradas do registro listadas nas seções a seguir.
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para saber mais sobre como fazer o backup e restaurar o registro, consulte Como fazer o backup e restaurar o registro no Windows.
Observação
Depois de concluir a solução de problemas ou testar o protocolo Kerberos, remova todas as entradas de registro que você adicionar. Caso contrário, o desempenho do computador pode ser afetado.
Entradas e valores do Registro na chave Parâmetros
As entradas do registro listadas nesta seção devem ser adicionadas à seguinte subchave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Observação
Se a chave Parâmetros não estiver listada em Kerberos, você deverá criar a chave.
Entrada: SkewTime
Tipo: REG_DWORD
Valor padrão: 5 (minutos)
Esse valor é a diferença de tempo máxima permitida entre o computador cliente e o servidor que aceita a autenticação Kerberos ou o KDC.
Observação
O SkewTime é considerado na determinação da validade do tíquete Kerberos para reutilização. Um tíquete é considerado expirado se o tempo de expiração for menor que o tempo atual + o SkewTime. Por exemplo, se o SkewTime estiver definido como 20 minutos e o horário atual for 08:00, qualquer tíquete com tempo de validade antes das 08:20 será considerado expirado.
Entrada: LogLevel
Tipo: REG_DWORD
Valor padrão: 0
Esse valor indica se os eventos são registrados no log de eventos do sistema. Se esse valor for definido como qualquer valor não zero, todos os eventos relacionados ao Kerberos serão registrados no log de eventos do sistema.
Observação
Os eventos registrados podem incluir falsos positivos em que o cliente Kerberos tenta novamente com diferentes sinalizadores de solicitação que, em seguida, têm êxito. Portanto, não suponha que você tenha um problema Kerberos ao ver um evento registrado com base nessa configuração. Para obter mais informações, confira Como habilitar o registro em log de eventos kerberos .
Entrada: MaxPacketSize
Tipo: REG_DWORD
Valor padrão: 1465 (bytes)
Esse valor é o tamanho máximo do pacote UDP (Protocolo de Datagrama do Usuário). Se o tamanho do pacote exceder esse valor, o TCP será usado.
O padrão para esse valor no Windows Vista e na versão posterior do Windows é 0, portanto, o UDP nunca é usado pelo Cliente Kerberos do Windows.
Entrada: StartupTime
Tipo: REG_DWORD
Valor padrão: 120 (segundos)
Esse valor é o momento em que o Windows aguarda o início do KDC antes de o Windows desistir.
Entrada: KdcWaitTime
Tipo: REG_DWORD
Valor padrão: 10 (segundos)
Esse valor é a hora em que o Windows aguarda uma resposta de um KDC.
Entrada: KdcBackoffTime
Tipo: REG_DWORD
Valor padrão: 10 (segundos)
Esse valor é o tempo entre chamadas sucessivas para o KDC se a chamada anterior falhar.
Entrada: KdcSendRetries
Tipo: REG_DWORD
Valor padrão: 3
Esse valor é o número de vezes que um cliente tentará entrar em contato com um KDC.
Entrada: DefaultEncryptionType
Tipo: REG_DWORD
Esse valor indica o tipo de criptografia padrão para pré-autenticação. O valor padrão para RC4 é 23 (decimal) ou 0x17 (hexadecimal)
Quando você quiser usar o AES, defina o valor como um dos seguintes valores:
- aes256-cts-hmac-sha1-96: 18 ou 0x12
- aes128-cts-hmac-sha1-96: 17 ou 0x11
Esse valor indica o tipo de criptografia padrão para pré-autenticação.
Entrada: FarKdcTimeout
Tipo: REG_DWORD
Valor padrão: 10 (minutos)
É o valor de tempo limite usado para invalidar um controlador de domínio de um site diferente no cache do controlador de domínio.
Entrada: NearKdcTimeout
Tipo: REG_DWORD
Valor padrão: 30 (minutos)
É o valor de tempo limite usado para invalidar um controlador de domínio no mesmo site no cache do controlador de domínio.
Entrada: StronglyEncryptDatagram
Tipo: REG_BOOL
Valor padrão: FALSE
Esse valor contém um sinalizador que indica se deve usar criptografia de 128 bits para pacotes de datagram.
Entrada: MaxReferralCount
Tipo: REG_DWORD
Valor padrão: 6
Esse valor é o número de referências KDC que um cliente busca antes de o cliente desistir.
Entrada: MaxTokenSize
Tipo: REG_DWORD
Valor padrão: 12000 (Decimal). Começando o Windows Server 2012 e o Windows 8, o valor padrão é 48000.
Esse valor é o valor máximo do token Kerberos. A Microsoft recomenda que você defina esse valor como inferior a 65535. Para obter mais informações, confira Problemas com autenticação Kerberos quando um usuário pertence a muitos grupos.
Entrada: SpnCacheTimeout
Tipo: REG_DWORD
Valor padrão: 15 minutos
Esse valor é usado pelo sistema ao limpar entradas de cache SPN (Nomes de Entidade de Serviço). Em controladores de domínio, o cache SPN está desabilitado. Clientes e servidores membros usam esse valor para envelhecer e limpar entradas de cache negativas (SPN não encontradas). Entradas de cache SPN válidas (por exemplo, não cache negativo) não são excluídas após 15 minutos de criação. No entanto, o valor SPNCacheTimeout também é usado para reduzir o cache SPN a um tamanho gerenciável - quando o cache SPN atingir 350 entradas, o sistema usará esse valor para
scavenge / cleanup
entradas antigas e não utilizadas.
Entrada: S4UCacheTimeout
Tipo: REG_DWORD
Valor padrão: 15 minutos
Esse valor é o tempo de vida das entradas de cache negativas do S4U que são usadas para restringir o número de solicitações de proxy S4U de um determinado computador.
Entrada: S4UTicketLifetime
Tipo: REG_DWORD
Valor padrão: 15 minutos
Esse valor é o tempo de vida dos tíquetes obtidos por solicitações de proxy S4U.
Entrada: RetryPdc
Tipo: REG_DWORD
Valor padrão: 0 (false)
Valores possíveis: 0 (false) ou qualquer valor não zero (true)
Esse valor indica se o cliente entrará em contato com o controlador de domínio primário para Solicitações de Serviço de Autenticação (AS_REQ) se o cliente receber um erro de expiração de senha.
Entrada: RequestOptions
Tipo: REG_DWORD
Valor padrão: qualquer valor RFC 1510
Esse valor indica se há mais opções que devem ser enviadas como opções KDC em solicitações do Serviço de Concessão de Tíquetes (TGS_REQ).
Entrada: ClientIpAddresses
Tipo: REG_DWORD
Valor padrão: 0 (essa configuração é 0 devido a problemas de conversão de endereço de rede e protocolo de configuração de host dinâmico.)
Valores possíveis: 0 (false) ou qualquer valor não zero (true)
Esse valor indica se um endereço IP do cliente será adicionado em AS_REQ para forçar o
Caddr
campo a conter endereços IP em todos os tíquetes.
Entrada: TgtRenewalTime
Tipo: REG_DWORD
Valor padrão: 600 segundos
Esse valor é o tempo que Kerberos aguarda antes de tentar renovar um TGT (TGT) antes que o tíquete expire.
Entrada: AllowTgtSessionKey
Tipo: REG_DWORD
Valor padrão: 0
Valores possíveis: 0 (false) ou qualquer valor não zero (true)
Esse valor indica se as chaves de sessão são exportadas com autenticação TGT inicial ou com realm cruzado. O valor padrão é falso por motivos de segurança.
Observação
Com o Active Credential Guard no Windows 10 e versões posteriores do Windows, você não pode mais habilitar o compartilhamento das chaves de sessão TGT com aplicativos.
Entradas e valores do registro na chave Kdc
As entradas do registro listadas nesta seção devem ser adicionadas à seguinte subchave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Observação
Se a chave Kdc não estiver listada em Serviços, você deverá criar a chave.
Entrada: KdcUseClientAddresses
Tipo: REG_DWORD
Valor padrão: 0
Valores possíveis: 0 (false) ou qualquer valor não zero (true)
Esse valor indica se os endereços IP serão adicionados no Ticket-Granting Service Reply (TGS_REP).
Entrada: KdcDontCheckAddresses
Tipo: REG_DWORD
Valor padrão: 1
Valores possíveis: 0 (false) ou qualquer valor não zero (true)
Esse valor indica se os endereços IP do TGS_REQ e do campo TGT
Caddr
serão verificados.
Entrada: NewConnectionTimeout
Tipo: REG_DWORD
Valor padrão: 10 (segundos)
Esse valor é o momento em que uma conexão inicial do ponto de extremidade TCP será mantida aberta para receber dados antes de se desconectar.
Entrada: MaxDatagramReplySize
Tipo: REG_DWORD
Valor padrão: 1465 (decimais, bytes)
Esse valor é o tamanho máximo do pacote UDP em mensagens de TGS_REP e respostas do serviço de autenticação (AS_REP). Se o tamanho do pacote exceder esse valor, o KDC retornará uma mensagem "KRB_ERR_RESPONSE_TOO_BIG" que solicita que o cliente mude para TCP.
Observação
Aumentar o MaxDatagramReplySize pode aumentar a probabilidade de pacotes UDP Kerberos serem fragmentados.
Para obter mais informações sobre esse problema, consulte Como forçar Kerberos a usar o TCP em vez de UDP no Windows.
Entrada: KdcExtraLogLevel
Tipo: REG_DWORD
Valor padrão: 2
Valores possíveis:
- 1 (decimal) ou 0x1 (hexadecimal): auditar erros de SPN desconhecidos no log de eventos de segurança. A ID do evento 4769 está registrada com uma auditoria com falha.
- 2 (decimal) ou 0x2 (hexadecimal): erros PKINIT de log. Isso registra uma ID do evento de aviso KDC 21 (habilitada por padrão) para o log de eventos do sistema. PKINIT é um rascunho da Internet da IETF (Força-Tarefa de Engenharia da Internet) para Criptografia de Chave Pública para Autenticação Inicial em Kerberos.
- 4 (decimais) ou 0x4 (hexadecimal): registrar todos os erros do KDC. Isso registra uma ID do evento KDC 24 (exemplo de problemas necessários para U2U) no log de eventos do sistema.
- 8 (decimal) ou 0x8 (hexadecimal): registrar uma ID de evento de aviso KDC 25 no log do sistema quando o usuário que solicitar o tíquete S4U2Self não tiver acesso suficiente ao usuário de destino.
- 16 (decimal) ou 0x10 (hexadecimal): log audit events on encryption type (ETYPE) and bad options errors. Esse valor indica quais informações o KDC gravará nos logs de eventos e nas auditorias no log de eventos de segurança. A ID do evento 4769 está registrada com uma auditoria com falha.
Comentários
Enviar e exibir comentários de