本主題適用於 IT 專業人員,說明 Kerberos 通訊協定中可能導致惡意使用者掌控使用者帳戶的一些限制。 業界眾所周知的 Kerberos 網路驗證服務 (V5) 標準 (RFC 4120) 有所限制,而如果攻擊者知道使用者的秘密金鑰,攻擊者便可以身用者身分驗證或變更該使用者的密碼。
在每一 RFC 4757 的 Kerberos 密碼變更交換期間會驗證使用者擁有的密碼衍生 Kerberos 秘密金鑰 (根據預設為 RC4 和進階加密標準 [AES])。 使用者的純文字密碼永遠不會提供給金鑰發佈中心 (KDC),而且根據預設,Active Directory 網域控制站不會擁有帳戶的純文字密碼複本。 如果網域控制站不支援 Kerberos 加密類型,就無法使用該秘密金鑰來變更密碼。
在本主題開頭的「適用於」清單中指定的 Windows 作業系統中,有三種方式可封鎖使用 Kerberos 搭配 RC4 秘密金鑰來變更密碼的能力:
設定使用者帳戶以包含互動式登入需要帳戶選項智慧卡。 這會將使用者限制為只使用有效的智慧卡登入,因此會拒絕 RC4 驗證服務要求 (AS-REQ)。 若要在帳戶上設定帳戶選項,請以滑鼠右鍵按一下帳戶,按一下 [屬性],然後按一下 [帳戶] 索引標籤。
停用所有網域控制站上 Kerberos 的 RC4 支援。 這至少需要 Windows Server 2008 網域功能層級,以及所有 Kerberos 用戶端、應用程式伺服器及網域雙向信任關係都必須支援 AES 的環境。 AES 支援是在 Windows Server 2008 和 Windows Vista 中引進的。
注意
停用 RC4 有造成系統重新啟動的已知問題。 請參閱下列 Hotfix:
- Windows 伺服器 2012 R2
- Windows Server 2012
- 舊版 Windows Server 沒有 Hotfix 可用
部署設為 Windows Server 2012 R2 網域功能層級或更高層級的網域,並將使用者設定為「受保護使用者」安全性群組的成員。 由於此功能不只擾亂 Kerberos 通訊協定中的 RC4 使用,因此請參閱以下另請參閱一節中的資源。
另請參閱
如需如何在 Windows Server 2012 R2 網域中防止使用 RC4 加密類型的相關資訊,請參閱受保護的使用者安全性群組。
如需 RFC 4120 和 RFC 4757 的說明,請參閱IETF 文件。