Entradas de registro de protocolo Kerberos e chaves de configuração do KDC no Windows

  • Artigo

Este artigo descreve as entradas do registro sobre o protocolo de autenticação kerberos versão 5 e a configuração do KDC (Key Distribution Center).

Aplica-se a: Windows 11, Windows 10, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Número de KB Original do Windows Server 2012: 837361

Resumo

Kerberos é um mecanismo de autenticação usado para verificar a identidade do usuário ou do host. Kerberos é o método de autenticação preferencial para serviços no Windows.

Se você estiver executando o Windows, poderá modificar os parâmetros Kerberos para ajudar a solucionar problemas de autenticação Kerberos ou testar o protocolo Kerberos. Para fazer isso, adicione ou modifique as entradas do registro listadas nas seções a seguir.

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para saber mais sobre como fazer o backup e restaurar o registro, consulte Como fazer o backup e restaurar o registro no Windows.

Observação

Depois de concluir a solução de problemas ou testar o protocolo Kerberos, remova todas as entradas de registro que você adicionar. Caso contrário, o desempenho do computador pode ser afetado.

Entradas e valores do Registro na chave Parâmetros

As entradas do registro listadas nesta seção devem ser adicionadas à seguinte subchave de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Observação

Se a chave Parâmetros não estiver listada em Kerberos, você deverá criar a chave.

  • Entrada: SkewTime

    • Tipo: REG_DWORD

    • Valor padrão: 5 (minutos)

      Esse valor é a diferença de tempo máxima permitida entre o computador cliente e o servidor que aceita a autenticação Kerberos ou o KDC.

      Observação

      O SkewTime é considerado na determinação da validade do tíquete Kerberos para reutilização. Um tíquete é considerado expirado se o tempo de expiração for menor que o tempo atual + o SkewTime. Por exemplo, se o SkewTime estiver definido como 20 minutos e o horário atual for 08:00, qualquer tíquete com tempo de validade antes das 08:20 será considerado expirado.

  • Entrada: LogLevel

    • Tipo: REG_DWORD

    • Valor padrão: 0

      Esse valor indica se os eventos são registrados no log de eventos do sistema. Se esse valor for definido como qualquer valor não zero, todos os eventos relacionados ao Kerberos serão registrados no log de eventos do sistema.

      Observação

      Os eventos registrados podem incluir falsos positivos em que o cliente Kerberos tenta novamente com diferentes sinalizadores de solicitação que, em seguida, têm êxito. Portanto, não suponha que você tenha um problema Kerberos ao ver um evento registrado com base nessa configuração. Para obter mais informações, confira Como habilitar o registro em log de eventos kerberos .

  • Entrada: MaxPacketSize

    • Tipo: REG_DWORD

    • Valor padrão: 1465 (bytes)

      Esse valor é o tamanho máximo do pacote UDP (Protocolo de Datagrama do Usuário). Se o tamanho do pacote exceder esse valor, o TCP será usado.

      O padrão para esse valor no Windows Vista e na versão posterior do Windows é 0, portanto, o UDP nunca é usado pelo Cliente Kerberos do Windows.

  • Entrada: StartupTime

    • Tipo: REG_DWORD

    • Valor padrão: 120 (segundos)

      Esse valor é o momento em que o Windows aguarda o início do KDC antes de o Windows desistir.

  • Entrada: KdcWaitTime

    • Tipo: REG_DWORD

    • Valor padrão: 10 (segundos)

      Esse valor é a hora em que o Windows aguarda uma resposta de um KDC.

  • Entrada: KdcBackoffTime

    • Tipo: REG_DWORD

    • Valor padrão: 10 (segundos)

      Esse valor é o tempo entre chamadas sucessivas para o KDC se a chamada anterior falhar.

  • Entrada: KdcSendRetries

    • Tipo: REG_DWORD

    • Valor padrão: 3

      Esse valor é o número de vezes que um cliente tentará entrar em contato com um KDC.

  • Entrada: DefaultEncryptionType

    • Tipo: REG_DWORD

      Esse valor indica o tipo de criptografia padrão para pré-autenticação. O valor padrão para RC4 é 23 (decimal) ou 0x17 (hexadecimal)

      Quando você quiser usar o AES, defina o valor como um dos seguintes valores:

      • aes256-cts-hmac-sha1-96: 18 ou 0x12
      • aes128-cts-hmac-sha1-96: 17 ou 0x11

      Esse valor indica o tipo de criptografia padrão para pré-autenticação.

  • Entrada: FarKdcTimeout

    • Tipo: REG_DWORD

    • Valor padrão: 10 (minutos)

      É o valor de tempo limite usado para invalidar um controlador de domínio de um site diferente no cache do controlador de domínio.

  • Entrada: NearKdcTimeout

    • Tipo: REG_DWORD

    • Valor padrão: 30 (minutos)

      É o valor de tempo limite usado para invalidar um controlador de domínio no mesmo site no cache do controlador de domínio.

  • Entrada: StronglyEncryptDatagram

    • Tipo: REG_BOOL

    • Valor padrão: FALSE

      Esse valor contém um sinalizador que indica se deve usar criptografia de 128 bits para pacotes de datagram.

  • Entrada: MaxReferralCount

    • Tipo: REG_DWORD

    • Valor padrão: 6

      Esse valor é o número de referências KDC que um cliente busca antes de o cliente desistir.

  • Entrada: MaxTokenSize

  • Entrada: SpnCacheTimeout

    • Tipo: REG_DWORD

    • Valor padrão: 15 minutos

      Esse valor é usado pelo sistema ao limpar entradas de cache SPN (Nomes de Entidade de Serviço). Em controladores de domínio, o cache SPN está desabilitado. Clientes e servidores membros usam esse valor para envelhecer e limpar entradas de cache negativas (SPN não encontradas). Entradas de cache SPN válidas (por exemplo, não cache negativo) não são excluídas após 15 minutos de criação. No entanto, o valor SPNCacheTimeout também é usado para reduzir o cache SPN a um tamanho gerenciável - quando o cache SPN atingir 350 entradas, o sistema usará esse valor para scavenge / cleanup entradas antigas e não utilizadas.

  • Entrada: S4UCacheTimeout

    • Tipo: REG_DWORD

    • Valor padrão: 15 minutos

      Esse valor é o tempo de vida das entradas de cache negativas do S4U que são usadas para restringir o número de solicitações de proxy S4U de um determinado computador.

  • Entrada: S4UTicketLifetime

    • Tipo: REG_DWORD

    • Valor padrão: 15 minutos

      Esse valor é o tempo de vida dos tíquetes obtidos por solicitações de proxy S4U.

  • Entrada: RetryPdc

    • Tipo: REG_DWORD

    • Valor padrão: 0 (false)

    • Valores possíveis: 0 (false) ou qualquer valor não zero (true)

      Esse valor indica se o cliente entrará em contato com o controlador de domínio primário para Solicitações de Serviço de Autenticação (AS_REQ) se o cliente receber um erro de expiração de senha.

  • Entrada: RequestOptions

    • Tipo: REG_DWORD

    • Valor padrão: qualquer valor RFC 1510

      Esse valor indica se há mais opções que devem ser enviadas como opções KDC em solicitações do Serviço de Concessão de Tíquetes (TGS_REQ).

  • Entrada: ClientIpAddresses

    • Tipo: REG_DWORD

    • Valor padrão: 0 (essa configuração é 0 devido a problemas de conversão de endereço de rede e protocolo de configuração de host dinâmico.)

    • Valores possíveis: 0 (false) ou qualquer valor não zero (true)

      Esse valor indica se um endereço IP do cliente será adicionado em AS_REQ para forçar o Caddr campo a conter endereços IP em todos os tíquetes.

  • Entrada: TgtRenewalTime

    • Tipo: REG_DWORD

    • Valor padrão: 600 segundos

      Esse valor é o tempo que Kerberos aguarda antes de tentar renovar um TGT (TGT) antes que o tíquete expire.

  • Entrada: AllowTgtSessionKey

    • Tipo: REG_DWORD

    • Valor padrão: 0

    • Valores possíveis: 0 (false) ou qualquer valor não zero (true)

      Esse valor indica se as chaves de sessão são exportadas com autenticação TGT inicial ou com realm cruzado. O valor padrão é falso por motivos de segurança.

      Observação

      Com o Active Credential Guard no Windows 10 e versões posteriores do Windows, você não pode mais habilitar o compartilhamento das chaves de sessão TGT com aplicativos.

Entradas e valores do registro na chave Kdc

As entradas do registro listadas nesta seção devem ser adicionadas à seguinte subchave de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Observação

Se a chave Kdc não estiver listada em Serviços, você deverá criar a chave.

  • Entrada: KdcUseClientAddresses

    • Tipo: REG_DWORD

    • Valor padrão: 0

    • Valores possíveis: 0 (false) ou qualquer valor não zero (true)

      Esse valor indica se os endereços IP serão adicionados no Ticket-Granting Service Reply (TGS_REP).

  • Entrada: KdcDontCheckAddresses

    • Tipo: REG_DWORD

    • Valor padrão: 1

    • Valores possíveis: 0 (false) ou qualquer valor não zero (true)

      Esse valor indica se os endereços IP do TGS_REQ e do campo TGT Caddr serão verificados.

  • Entrada: NewConnectionTimeout

    • Tipo: REG_DWORD

    • Valor padrão: 10 (segundos)

      Esse valor é o momento em que uma conexão inicial do ponto de extremidade TCP será mantida aberta para receber dados antes de se desconectar.

  • Entrada: MaxDatagramReplySize

    • Tipo: REG_DWORD

    • Valor padrão: 1465 (decimais, bytes)

      Esse valor é o tamanho máximo do pacote UDP em mensagens de TGS_REP e respostas do serviço de autenticação (AS_REP). Se o tamanho do pacote exceder esse valor, o KDC retornará uma mensagem "KRB_ERR_RESPONSE_TOO_BIG" que solicita que o cliente mude para TCP.

      Observação

      Aumentar o MaxDatagramReplySize pode aumentar a probabilidade de pacotes UDP Kerberos serem fragmentados.

      Para obter mais informações sobre esse problema, consulte Como forçar Kerberos a usar o TCP em vez de UDP no Windows.

  • Entrada: KdcExtraLogLevel

    • Tipo: REG_DWORD

    • Valor padrão: 2

    • Valores possíveis:

      • 1 (decimal) ou 0x1 (hexadecimal): auditar erros de SPN desconhecidos no log de eventos de segurança. A ID do evento 4769 está registrada com uma auditoria com falha.
      • 2 (decimal) ou 0x2 (hexadecimal): erros PKINIT de log. Isso registra uma ID do evento de aviso KDC 21 (habilitada por padrão) para o log de eventos do sistema. PKINIT é um rascunho da Internet da IETF (Força-Tarefa de Engenharia da Internet) para Criptografia de Chave Pública para Autenticação Inicial em Kerberos.
      • 4 (decimais) ou 0x4 (hexadecimal): registrar todos os erros do KDC. Isso registra uma ID do evento KDC 24 (exemplo de problemas necessários para U2U) no log de eventos do sistema.
      • 8 (decimal) ou 0x8 (hexadecimal): registrar uma ID de evento de aviso KDC 25 no log do sistema quando o usuário que solicitar o tíquete S4U2Self não tiver acesso suficiente ao usuário de destino.
      • 16 (decimal) ou 0x10 (hexadecimal): log audit events on encryption type (ETYPE) and bad options errors. Esse valor indica quais informações o KDC gravará nos logs de eventos e nas auditorias no log de eventos de segurança. A ID do evento 4769 está registrada com uma auditoria com falha.