ネットワーク セキュリティ: Kerberos で許可する暗号化の種類を構成する

適用対象

  • Windows 2000 Server、Windows XP、Windows Server 2003、Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2

ネットワーク セキュリティのベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します 。Kerberos セキュリティ ポリシー設定で許可される暗号化の種類を構成します。

リファレンス

このポリシー設定では、Kerberos プロトコルで使用できる暗号化の種類を設定できます。 選択されていない場合、暗号化の種類は許可されません。 この設定は、クライアント コンピューターまたはサービスおよびアプリケーションとの互換性に影響を与える可能性があります。 複数の選択が許可されます。

詳細については、マイクロソフト サポート 技術情報の977321 を参照してください。

次の表に、許可されている暗号化の種類を示し、説明します。

暗号化の種類 説明とバージョンのサポート
DES_CBC_CRC サイクリック冗長チェック機能を使用した暗号ブロック チェーンを使用したデータ暗号化標準
Windows 2000 Server、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008 でサポートされます。 サーバー 7 Windows、Windows 10、Windows 2008 R2 以降のオペレーティング システムは、既定では DES をサポートしません。
DES_CBC_MD5 暗号化アルゴリズム 5 チェックサム関数を使用した暗号ブロック チェーンMessage-Digestデータ暗号化標準
Windows 2000 Server、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008 でサポートされます。 サーバー 7 Windows、Windows 10、Windows 2008 R2 以降のオペレーティング システムは、既定では DES をサポートしません。
RC4_HMAC_MD5 アルゴリズム 5 チェックサム関数を使用したハッシュメッセージ認証コードMessage-Digest Rivest Cipher 4
Windows 2000 Server、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows 10、Windows Server 2008 R2 でサポート、Windows Server 2012 R2 Windows Server 2012を使用します。
AES128_HMAC_SHA1 セキュリティで保護されたハッシュ アルゴリズム (1) を使用したハッシュ メッセージ認証コードを使用した 128 ビット暗号ブロックの高度な暗号化標準。
2000 Server、Windows XP、または Windows Server 2003 ではサポートWindowsされません。 Windows Vista、Windows Server 2008、Windows 7、Windows 10、Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 でサポートされています。
AES256_HMAC_SHA1 セキュリティで保護されたハッシュ アルゴリズム (1) を使用したハッシュ メッセージ認証コードを使用した 256 ビット暗号ブロックの高度な暗号化標準。
2000 Server、Windows XP、または Windows Server 2003 ではサポートWindowsされません。 Windows Vista、Windows Server 2008、Windows 7、Windows 10、Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 でサポートされています。
今後の暗号化の種類 実装される可能性がある追加の暗号化の種類のために Microsoft によって予約されています。

暗号化の種類のオプションは次のとおりです。

  • DES_CBC_CRC

  • DES_CBC_MD5

  • RC4_HMAC_MD5

  • AES128_HMAC_SHA1

  • AES256_HMAC_SHA1

  • 今後の暗号化の種類

    Windows 7 および Windows Server 2008 R2 のリリース時点で、これは実装される可能性がある追加の暗号化の種類のために Microsoft によって予約されています。

ベスト プラクティス

環境を分析して、どの暗号化の種類がサポートされるのか判断し、その評価を満たす種類を選択します。

Location

コンピューターの構成\Windows 設定\セキュリティ 設定\ローカル ポリシー\セキュリティ オプション

既定値

サーバーの種類またはグループ ポリシー オブジェクト (GPO) 既定値
既定のドメイン ポリシー 未定義
既定のドメイン コントローラー ポリシー 未定義
スタンドアロン サーバーの既定の設定 未定義
ドメイン コントローラーの有効な既定の設定 既定の OS 設定が適用され、DES スイートは既定ではサポートされていません。
メンバー サーバーの有効な既定の設定 既定の OS 設定が適用され、DES スイートは既定ではサポートされていません。
クライアント コンピューターでの GPO の有効な既定の設定 既定の OS 設定が適用され、DES スイートは既定ではサポートされていません。

セキュリティに関する考慮事項

このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。

脆弱性

Windows Server 2008 R2、Windows 7、Windows 10 では、強力な暗号化スイートが利用可能なので、DES 暗号化スイートはサポートされません。 Kerberos プロトコルのバージョン以外のバージョンWindows Kerberos の相互運用性を有効にするには、これらのスイートを有効にできます。 ただし、サーバー 2008 R2、Windows 7、およびサーバーを実行しているWindows攻撃Windows 10。 また、Vista およびサーバー 2008 で実行Windowsコンピューター Windows DES を無効にすることもできます。

対抗策

このポリシーは構成しない。 これにより、サーバー 2008 R2、Windows 7、および Windows 7、および Windows 10を実行しているコンピューターは、AES または RC4 暗号化スイートを使用する必要があります。

潜在的な影響

暗号化の種類を選択しない場合、Windows Server 2008 R2、Windows 7、Windows 10 を実行しているコンピューターは、Kerberos プロトコルの Windows 以外のバージョンを実行しているコンピューターに接続するときに Kerberos 認証エラーが発生する可能性があります。

暗号化の種類を選択すると、Kerberos 認証の暗号化の有効性は低下しますが、以前のバージョンの暗号化を実行しているコンピューターとの相互運用性がWindows。 Kerberos プロトコルWindowsの最新の非暗号化実装では、RC4 および AES 128 ビットと AES 256 ビットの暗号化がサポートされています。 MIT Kerberos プロトコルや Kerberos プロトコルのWindowsほとんどの実装は、DES 暗号化を非推奨にしています。

関連記事