Sécurité réseau: configurer les types de chiffrement autorisés pour Kerberos

S'applique à

  • Windows10

Décrit les meilleures pratiques, emplacement, les valeurs et les considérations de sécurité pour les sécurité réseau: configurer les types de chiffrement autorisés pour Kerberos paramètre de stratégie de sécurité.

Référence

Ce paramètre de stratégie vous permet de définir les types de chiffrement autorisés à utiliser le protocole Kerberos. S’il n’est pas sélectionné, le type de chiffrement n’est pas autorisé. Ce paramètre peut affecter la compatibilité avec les ordinateurs clients ou des applications et services. Sélections multiples sont autorisées.

Pour plus d’informations, voir l’article 977321 dans la Base de connaissances Microsoft.

Le tableau suivant répertorie et décrit les types de chiffrement autorisés.

Type de chiffrement Description et la version prise en charge
DES_CBC_CRC Data Encryption Standard avec Cipher Block Chaining à l’aide de la fonction de contrôle de redondance cycliques
Prise en charge dans Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008. Les systèmes d’exploitation Windows7 et Server2008R2 Windows ne prennent pas en charge DES
DES_CBC_MD5 Data Encryption Standard avec Cipher Block Chaining à l’aide de la fonction de somme de contrôle de Message-Digest algorithm 5
Prise en charge dans Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008. Les systèmes d’exploitation Windows7 et Server2008R2 Windows ne prennent pas en charge par défaut.
RC4_HMAC_MD5 4 de chiffrement par Rivest avec Code d’authentification de Message haché à l’aide de la fonction de somme de contrôle de Message-Digest algorithm 5
Prise en charge dans Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows7 et Windows Server2008R2.
AES128_HMAC_SHA1 Avancées Encryption Standard dans un bloc de chiffrement de 128 bits avec Code d’authentification de Message haché à l’aide de l’algorithme de hachage sécurisé (1).
Non pris en charge dans Windows 2000 Server, Windows XP ou Windows Server 2003. Prise en charge par Windows Vista, Windows Server 2008, Windows7 et Windows Server2008R2.
AES256_HMAC_SHA1 Avancées Encryption Standard dans un bloc de chiffrement 256 bits avec Code d’authentification de Message haché à l’aide de l’algorithme de hachage sécurisé (1).
Non pris en charge dans Windows 2000 Server, Windows XP ou Windows Server 2003. Prise en charge par Windows Vista, Windows Server 2008, Windows7 et Windows Server2008R2.
Types de chiffrement futures Réservés par Microsoft pour les types de chiffrement supplémentaire qui peuvent être implémentées.

Valeurs possibles

Les options de type de chiffrement sont les suivantes:

  • DES_CBC_CRC
  • DES_CBC_MD5
  • RC4_HMAC_MD5
  • AES128_HMAC_SHA1
  • AES256_HMAC_SHA1
  • Types de chiffrement futures

    À compter de la version de Windows7 et Server2008R2 Windows, cela est réservée par Microsoft pour les types de chiffrement supplémentaire qui peuvent être implémentées.

Bonnes pratiques

Vous devez analyser votre environnement pour déterminer quels chiffrement types seront être pris en charge, puis sélectionnez le ceux qui répondent à cette évaluation.

Services de localisation

Ordinateur Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Valeurs par défaut

Type de serveur ou l’objet de stratégie de groupe (GPO) Valeur par défaut
Stratégie de domaine par défaut Non défini
Stratégie de contrôleur de domaine par défaut Non défini
Paramètres par défaut de serveur autonome Non défini
Paramètres par défaut efficace contrôleur de domaine Paramètre par défaut du système d’exploitation s’applique, DES suites ne sont pas prises en charge par défaut.
Paramètres par défaut efficace du serveur membre Paramètre par défaut du système d’exploitation s’applique, DES suites ne sont pas prises en charge par défaut.
Paramètres de stratégie de groupe par défaut en vigueur sur les ordinateurs clients Paramètre par défaut du système d’exploitation s’applique, DES suites ne sont pas prises en charge par défaut.

Éléments à prendre en compte en matière de sécurité

Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.

Vulnérabilité

Windows Server2008R2 et Windows7 ne gèrent pas les suites de chiffrement DES parce que celles qui sont plus forte est disponibles. Pour activer l’interopérabilité avec les versions non Windows du protocole Kerberos Kerberos, ces suites peuvent être activés. Toutefois, cette opération par conséquent, peut ouvrir les vecteurs d’attaque sur les ordinateurs exécutant Windows Server2008R2 et Windows7. Vous pouvez également désactiver pour vos ordinateurs exécutant Windows Vista et WindowsServer2008.

Contre-mesure

Ne configurez pas cette stratégie. Ceci force les ordinateurs qui exécutent Windows Server2008R2 et Windows7 d’utiliser les suites de chiffrement AES ou RC4.

Impact possible

Si vous ne sélectionnez pas un des types de chiffrement, les ordinateurs exécutant Windows Server2008R2 et Windows7 souffrir d’échecs d’authentification Kerberos lors de la connexion avec des ordinateurs exécutant des versions autres que Windows du protocole Kerberos.

Si vous sélectionnez n’importe quel type de chiffrement, vous diminue l’efficacité de chiffrement pour l’authentification Kerberos, mais vous améliore l’interopérabilité avec les ordinateurs exécutant des versions antérieures de Windows. Contemporaines non-Windows implémentations du protocole Kerberos prend en charge RC4 et AES 128 bits et le chiffrement AES 256 bits. La plupart des implémentations, y compris le protocole MIT Kerberos et le protocole Windows Kerberos, sont deprecating le chiffrement.

Rubriques associées