為何要考慮到這一點
資料加密標準 (DES) 加密使用到 56 位元金鑰,對內容進行加密,目前認為其內容屬於高度不安全。 因此,可以使用資料加密標準 (DES)對服務進行驗證的帳戶,在將此帳戶的登入序列和帳戶遭入侵等方面,要承受比較大的風險。
觀賞客戶工程師如何解釋問題
內容與最佳做法
目前認為資料加密標準 (DES) 加密不足,依預設早已不會在 Windows 7 和 Windows Server 2008 R2 的 Kerberos 驗證中啟用它。
如果有在作業系統、JAVA 平台或 Kerberos 版本上執行使用者帳戶或信任,就沒有支援 RC4,之前都需要此設定。 因此,已將帳戶更改為只支援資料加密標準 (DES)。 此要求也可套用到舊版的非 Windows Kerberos 領域。 即使已升級作業系統或平台,以支援 RC4 或進階加密標準 (AES),帳戶可能還未更新,仍只會使用到資料加密標準 (DES)。 另一個潛在問題是,應用程式很可能擁有寫入程式碼的 Kerberos 加密類型。
由於資料加密標準 (DES) 的金鑰長度只有 56 位元,一般認定,即使是非特製化電腦硬體,也可以在兩天之內中斷 DES 加密內容。 因此,如果有的話,建議移除此設定。
建議動作
在所有已識別的使用者帳戶中,檢閱帳戶的任何要求,以使用資料加密標準 (DES) 加密標準,然後移除將 Kerberos DES 加密類型用於 此帳戶選項**。**
下列 cmdlet 會在啟用的資料加密標準 (DES) 加密中,識別出所有使用者帳戶。
Get-ADUser -Filter {UserAccountControl -band 0x200000}
深入瞭解
如需關於此問題的其他指導方針和修正建議,請參閱 Active Directory 問題的最佳作法分析AD DS:此網域中的使用者帳戶和信任不應針對 DES 進行設定。https://technet.microsoft.com/library/ff646918(WS.10).aspx