从用户帐户中删除高度不安全的 DES 加密

为什么考虑这种情况

DES 加密使用 56 位密钥来加密内容,现在认为它非常不安全。 因此,可以使用 DES 对服务进行身份验证的帐户面临帐户登录顺序被解密以及帐户被入侵的极大风险。

观看客户工程师解释问题

上下文和最佳做法

DES 被视为弱密码。默认情况下,Windows 7 和 Windows Server 2008 R2 中的 Kerberos 身份验证不再启用 DES。

如果用户帐户或信任曾在不支持 RC4 的操作系统、Java 平台或 Kerberos 版本上运行,则通常需要此设置。 因此,该户已更改为只支持 DES。 此要求可能也适用于具有更旧的非 Windows Kerberos 领域的信任。 即使操作系统或平台已升级为支持 RC4 或高级加密标准 (AES),帐户也可能尚未更新并且仍将仅使用 DES。 另一个可能的问题是,应用程序可能已硬编码 Kerberos 加密类型。

由于 DES 的密钥长度只有 56 位,因此即使是未专用化的计算机硬件也可以在两天之内破坏 DES 加密的内容。 因此,建议你删除此设置(如果存在)。

建议措施

在所有已识别的用户帐户上,查看帐户使用 DES 加密标准的任何要求,然后移除为此帐户使用 Kerberos DES 加密类型选项**。**

以下 cmdlet 将识别启用了 DES 加密的所有用户帐户。

Get-ADUser -Filter {UserAccountControl -band 0x200000}

了解详情

有关此问题的其他指南和修正建议,请参阅针对 Active Directory 问题的最佳做法分析器 AD DS:不应仅为 DES 配置此域中的用户帐户和信任https://technet.microsoft.com/library/ff646918(WS.10).aspx