Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Почему это достойно внимания
Шифрование DES использует 56-разрядный ключ для шифрования содержимого и в настоящее время считается крайне небезопасным. По этой причине учетные записи, которые могут использовать DES для проверки подлинности служб, подвергаются значительно большему риску расшифровки последовательности входа и взлома.
Посмотрите, как инженер по работе с клиентами объясняет проблему
Контекст и рекомендации
DES считается слабой криптографией и больше не используется по умолчанию при проверке подлинности Kerberos в Windows 7 и Windows Server 2008 R2.
Эта настройка требовалась, если учетная запись пользователя или доверие работали на операционной системе, платформе Java или версии Kerberos, не поддерживающей RC4. Таким образом, учетная запись была изменена только для поддержки DES. Это требование может также применяться к отношениям доверия в старых областях, отличных от Windows Kerberos. Даже если операционная система или платформа была обновлена для поддержки RC4 или алгоритма шифрования AES (Advanced Encryption Standard), учетные записи, возможно, не были обновлены и по-прежнему будут использовать только DES. Другая возможная проблема заключается в том, что приложение может иметь жестко закодированные типы шифрования Kerberos.
Поскольку длина ключа для DES составляет всего 56 битов, считается, что даже неспециализированное компьютерное оборудование может взломать зашифрованное с применением DES содержимое менее чем за два дня. По этой причине рекомендуется удалить этот параметр, если он присутствует.
Рекомендуемые действия
Для всех идентифицированных учетных записей пользователей изучите требования к учетным записям по использованию стандарта шифрования DES, а затем удалите параметр Использовать типы шифрования Kerberos DES для этой учетной записи**.**
Следующий cmdlet идентифицирует все учетные записи пользователей, где включено шифрование DES.
Get-ADUser -Filter {UserAccountControl -band 0x200000}
Подробнее
Дополнительные инструкции и рекомендации по исправлению по этому вопросу см. в выпуске «Анализатор соответствия рекомендациям для Active Directory» AD DS. Учетные записи пользователей и доверия в этом домене не следует настраивать только для DES, https://technet.microsoft.com/library/ff646918(WS.10).aspx