Sécurité réseau: configurer les types de chiffrement autorisés pourKerberos (Win7 uniquement)

S’applique à

  • Windows10

Décrit les meilleures pratiques, emplacement, les valeurs et les considérations de sécurité pour les sécurité réseau: configurer les types de chiffrement autorisés pour Kerberos Win7 uniquement paramètre de stratégie de sécurité.

Référence

Ce paramètre de stratégie vous permet de définir les types de chiffrement autorisés à utiliser le protocole Kerberos. Si elle n’est pas activée, le type de chiffrement n’est pas autorisé. Ce paramètre peut affecter la compatibilité avec les ordinateurs clients ou des applications et services. Sélections multiples sont autorisées.

Pour plus d’informations, voir l’article 977321 dans la Base de connaissances Microsoft.

Le tableau suivant répertorie et décrit les types de chiffrement autorisés.

Type de chiffrement Description et la version prise en charge
DES_CBC_CRC Data Encryption Standard avec Cipher Block Chaining à l’aide de la fonction de contrôle de redondance cycliques
Prise en charge dans Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008. Les systèmes d’exploitation Windows 7 et Windows Server 2008 R2 ne prennent pas en charge DES
DES_CBC_MD5 Data Encryption Standard avec Cipher Block Chaining à l’aide de la fonction de somme de contrôle de Message-Digest algorithm 5
Prise en charge dans Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008. Les systèmes d’exploitation Windows 7 et Windows Server 2008 R2 ne prennent pas en charge par défaut.
RC4_HMAC_MD5 4 de chiffrement Rivest avec Code d’authentification de Message haché à l’aide de la fonction de somme de contrôle de Message-Digest algorithm 5
Prise en charge dans Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.
AES128_HMAC_SHA1 Avancées Encryption Standard de chiffrement de blocs de 128 bits avec Code d’authentification de Message haché à l’aide de l’algorithme de hachage sécurisé (1).
Non pris en charge dans Windows 2000 Server, Windows XP ou Windows Server 2003. Prise en charge dans Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.
AES256_HMAC_SHA1 Avancées Encryption Standard dans un bloc de chiffrement 256 bits avec Code d’authentification de Message haché à l’aide de l’algorithme de hachage sécurisé (1).
Non pris en charge dans Windows 2000 Server, Windows XP ou Windows Server 2003. Prise en charge dans Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.
Types de chiffrement futures Réservés par Microsoft pour les types de chiffrement supplémentaire qui peuvent être implémentées.

Valeurs possibles

Les options de type de chiffrement sont les suivantes:

  • DES_CBC_CRC
  • DES_CBC_MD5
  • RC4_HMAC_MD5
  • AES128_HMAC_SHA1
  • AES256_HMAC_SHA1
  • Types de chiffrement futures

    À compter de la version de Windows 7 et Windows Server 2008 R2, cela est réservée par Microsoft pour les types de chiffrement supplémentaire qui peuvent être implémentées.

Bonnes pratiques

Vous devez analyser votre environnement afin de déterminer le types seront être pris en charge, puis sélectionnez le ceux qui répondent à cette évaluation le chiffrement.

Emplacement

Ordinateur Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Valeurs par défaut

Type de serveur ou l’objet de stratégie de groupe (GPO) Valeur par défaut
Stratégie de domaine par défaut Non défini
Stratégie de contrôleur de domaine par défaut Non défini
Paramètres par défaut de serveur autonome Non défini
Paramètres de valeur par défaut effective de contrôleur de domaine Aucun de ces types de chiffrement qui sont disponibles dans cette stratégie sont autorisés.
Paramètres par défaut efficace du serveur membre Aucun de ces types de chiffrement qui sont disponibles dans cette stratégie sont autorisés.
Paramètres de stratégie de groupe par défaut en vigueur sur les ordinateurs clients Aucun de ces types de chiffrement qui sont disponibles dans cette stratégie sont autorisés.

Éléments à prendre en compte en matière de sécurité

Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.

Vulnérabilité

Windows Server 2008 R2 et Windows 7 ne prennent pas en charge les suites de chiffrement DES car plus forte celles qui est disponibles. Pour activer l’interopérabilité avec les versions du protocole Kerberos non-Windows Kerberos, ces suites peuvent être activés. Toutefois, cette opération donc peut ouvrir les vecteurs d’attaque sur les ordinateurs exécutant Windows Server 2008 R2 et Windows 7. Vous pouvez également désactiver pour vos ordinateurs exécutant Windows Vista et Windows Server 2008.

Contre-mesure

Ne configurez pas cette stratégie. Ceci force les ordinateurs qui exécutent Windows Server 2008 R2 et Windows 7 à utiliser les suites de chiffrement AES ou RC4.

Impact possible

Si vous ne sélectionnez pas un des types de chiffrement, les ordinateurs exécutant Windows Server 2008 R2 et Windows 7 peuvent avoir des échecs d’authentification Kerberos lors de la connexion avec des ordinateurs exécutant des versions non-Windows du protocole Kerberos.

Si vous sélectionnez n’importe quel type de chiffrement, vous réduira l’efficacité de chiffrement pour l’authentification Kerberos, mais vous améliore l’interopérabilité avec les ordinateurs exécutant des versions antérieures de Windows. Contemporaines non-Windows implémentations du protocole Kerberos prend en charge RC4 et AES 128 bits et le chiffrement AES 256 bits. La plupart des implémentations, y compris le protocole MIT Kerberos et le protocole Windows Kerberos, sont deprecating le chiffrement.

Rubriques associées