Sécurité réseau: configurer les types de chiffrement autorisés pour Kerberos

S’applique à

  • Windows10

Décrit les bonnes pratiques, l’emplacement, les valeurs et les considérations en matière de sécurité pour la sécurité réseau: configurer les types de chiffrement autorisés pour le paramètre de stratégie de sécurité Kerberos.

Référence

Ce paramètre de stratégie vous permet de définir les types de chiffrements que le protocole Kerberos est autorisé à utiliser. Si ce n’est pas le cas, le type de chiffrement n’est pas autorisé. Ce paramètre peut affecter la compatibilité avec les applications ou services et applications clientes. Les sélections multiples sont autorisées.

Pour plus d’informations, reportez-vous à l’article 977321 de la base de connaissances Microsoft.

Le tableau suivant répertorie et décrit les types de chiffrement autorisés.

Type de chiffrement Description et prise en charge des versions
DES_CBC_CRC Norme de chiffrement de données avec chaînage de blocs de chiffrement à l’aide de la fonction de vérification de redondance cyclique
Pris en charge dans Windows2000 Server, WindowsXP, Windows Server 2003, Vista et Windows Server 2008. Les systèmes d’exploitation Windows 10 et Windows Server2008R2 ne prennent pas en charge les systèmes d’exploitation DES
DES_CBC_MD5 Norme de chiffrement de données avec chaînage de blocs de chiffrement à l’aide de la fonction de checksum de l’algorithme de synthèse des messages 5
Pris en charge dans Windows2000 Server, WindowsXP, Windows Server 2003, Vista et Windows Server 2008. Les systèmes d’exploitation Windows 10 et Windows Server2008R2 ne prennent pas en charge les systèmes d’exploitation par défaut.
RC4_HMAC_MD5 Chiffrage Rivest 4 avec code d’authentification de message haché à l’aide de la fonction de checksum
Pris en charge dans Windows2000 Server, WindowsXP, Windows Server 2003, Vista, Windows Server 2008, Windows 10 et Windows Server2008R2.
AES128_HMAC_SHA1 Norme de chiffrement avancée dans le bloc de chiffrement 128 bits avec code d’authentification de message haché à l’aide de l’algorithme de hachage sécurisé (1).
Non pris en charge dans Windows2000 Server, WindowsXP ou Windows Server2003. Pris en charge dans Vista, Windows Server 2008, Windows 10 et Windows Server2008R2.
AES256_HMAC_SHA1 Norme de chiffrement avancée dans le bloc de chiffrement 256 bits avec code d’authentification de message haché à l’aide de l’algorithme de hachage sécurisé (1).
Non pris en charge dans Windows2000 Server, WindowsXP ou Windows Server2003. Pris en charge dans Vista, Windows Server 2008, Windows 10 et Windows Server2008R2.
Types de chiffrements futurs Réservé par Microsoft pour des types de chiffrements supplémentaires qui peuvent être implémentés.

Valeurs possibles

Les options de type de chiffrement incluent:

  • DES_CBC_CRC
  • DES_CBC_MD5
  • RC4_HMAC_MD5
  • AES128_HMAC_SHA1
  • AES256_HMAC_SHA1
  • Types de chiffrements futurs

    À partir de la version de Windows 7 et de Windows Server 2008 R2, il est réservé par Microsoft pour des types de chiffrements supplémentaires qui peuvent être implémentés.

Bonnes pratiques

Vous devez analyser votre environnement pour déterminer quels types de chiffrement seront pris en charge, puis sélectionnez ceux qui répondent à cette évaluation.

Services de localisation

Options d’ordinateur Configuration\Windows Settings\Security Settings\Local Policies\Security

Valeurs par défaut

Type de serveur ou objet de stratégie de groupe (GPO) Valeur par défaut
Stratégie de domaine par défaut Non défini
Stratégie de contrôleur de domaine par défaut Non défini
Paramètres par défaut du serveur autonome Non défini
Paramètres par défaut de contrôleur de domaine efficaces Le paramètre par défaut du système d’exploitation s’applique, les suites de ne sont pas prises en charge par défaut.
Paramètres par défaut du serveur membre Le paramètre par défaut du système d’exploitation s’applique, les suites de ne sont pas prises en charge par défaut.
Paramètres de stratégie de groupe efficaces par défaut sur les ordinateurs clients Le paramètre par défaut du système d’exploitation s’applique, les suites de ne sont pas prises en charge par défaut.

Éléments à prendre en compte en matière de sécurité

Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.

Vulnérabilité

Windows Server2008R2, Windows 10 et Windows 10, ne prennent pas en charge les suites de chiffrement DES, car elles sont plus puissantes. Cette suite peut être activée pour permettre l’interopérabilité avec Kerberos avec les versions non Windows du protocole Kerberos. Néanmoins, il est possible que cela puisse ouvrir des vecteurs d’attaque sur des ordinateurs exécutant Windows Server2008R2, Windows 10 et Windows 10. Vous pouvez également désactiver DES pour les ordinateurs exécutant Vista et WindowsServer2008.

Contre-mesure

Ne configurez pas cette stratégie. Cette opération force les ordinateurs exécutant Windows Server2008R2, Windows 10 et Windows 10 à utiliser les suites de chiffrement AES ou RC4.

Impact possible

Si vous ne sélectionnez aucun type de chiffrement, il est possible que les ordinateurs exécutant Windows Server2008R2, et Windows 10 ne fonctionnent pas lors de la connexion avec des ordinateurs exécutant des versions non Windows du protocole Kerberos.

Si vous sélectionnez un type de chiffrement, vous abaissez l’efficacité du chiffrement pour l’authentification Kerberos, mais vous améliorerez l’interopérabilité avec des ordinateurs exécutant d’anciennes versions de Windows. Les implémentations de la version tierce non-Windows du protocole Kerberos prennent en charge le chiffrement RC4 et AES 128-bits et AES 256 bits. La plupart des implémentations, y compris le protocole MIT Kerberos et le protocole Kerberos Windows, déprécient le chiffrement DES.

Rubriques associées