Segurança de rede: Configurar tipos de criptografia permitidos para Kerberos
Aplicável ao
- Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2
Descreve as melhores práticas, localização, valores e considerações de segurança para a segurança de rede: configurar tipos de criptografia permitidos para a configuração de política de segurança Kerberos .
Referência
Essa configuração de política permite definir os tipos de criptografia que o protocolo Kerberos tem permissão para usar. Se não estiver selecionado, o tipo de criptografia não será permitido. Essa configuração pode afetar a compatibilidade com computadores cliente ou serviços e aplicativos. Várias seleções são permitidas.
Para obter mais informações, consulte o artigo 977321 na Base de Dados de Conhecimento Microsoft.
A tabela a seguir lista e explica os tipos de criptografia permitidos.
| Tipo de criptografia | Suporte de descrição e versão |
|---|---|
| DES_CBC_CRC | Criptografia de dados padrão com encadeamento de bloco de criptografia usando a função de Verificação de Redundância Cíclica Com suporte no Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008. Os sistemas operacionais Windows 7, Windows 10, Windows Server 2008 R2 e posteriores não dão suporte ao DES por padrão. |
| DES_CBC_MD5 | Criptografia de dados padrão com encadeamento de bloco de criptografia usando a função de soma de verificação Message-Digest algoritmo 5 Com suporte no Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008. Os sistemas operacionais Windows 7, Windows 10, Windows Server 2008 R2 e posteriores não dão suporte ao DES por padrão. |
| RC4_HMAC_MD5 | Codificação Rivest 4 com código de autenticação de mensagem com hash usando a função de soma de verificação Message-Digest algoritmo 5 Com suporte no Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 10, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2. |
| AES128_HMAC_SHA1 | Criptografia Avançada Padrão em bloco de criptografia de 128 bits com código de autenticação de mensagem com hash usando o Algoritmo de Hash Seguro (1). Sem suporte no Windows 2000 Server, Windows XP ou Windows Server 2003. Com suporte no Windows Vista, Windows Server 2008, Windows 7, Windows 10, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2. |
| AES256_HMAC_SHA1 | Criptografia Avançada Padrão em bloco de criptografia de 256 bits com código de autenticação de mensagem com hash usando o Algoritmo de Hash Seguro (1). Sem suporte no Windows 2000 Server, Windows XP ou Windows Server 2003. Com suporte no Windows Vista, Windows Server 2008, Windows 7, Windows 10, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2. |
| Tipos de criptografia futuros | Reservado pela Microsoft para outros tipos de criptografia que podem ser implementados. |
Valores possíveis
As opções de tipo de criptografia incluem:
DES_CBC_CRC
DES_CBC_MD5
RC4_HMAC_MD5
AES128_HMAC_SHA1
AES256_HMAC_SHA1
Tipos de criptografia futuros
Desde o lançamento do Windows 7 e do Windows Server 2008 R2, essas opções são reservadas pela Microsoft para outros tipos de criptografia que podem ser implementados.
Práticas recomendadas
Analise seu ambiente para determinar quais tipos de criptografia terão suporte e selecione os tipos que atendem a essa avaliação.
Localização
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança
Valores padrão
| Tipo de servidor ou Objeto de Política de Grupo (GPO) | Valor padrão |
|---|---|
| Política de domínio padrão | Não definido |
| Política de controlador de domínio padrão | Não definido |
| Configurações padrão do servidor autônomo | Não definido |
| Configurações padrão efetivas do controlador de domínio | A configuração padrão do sistema operacional se aplica, por padrão, não há suporte para pacotes DES. |
| Configurações padrão efetivas do servidor membro | A configuração padrão do sistema operacional se aplica, por padrão, não há suporte para pacotes DES. |
| Configurações padrão efetivas do GPO em computadores cliente | A configuração padrão do sistema operacional se aplica, por padrão, não há suporte para pacotes DES. |
Considerações de segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação da contramedida.
Vulnerabilidade
O Windows Server 2008 R2, o Windows 7 e o Windows 10, não dão suporte aos conjuntos criptográficos de DES porque os mais fortes estão disponíveis. Para habilitar a interoperabilidade kerberos com versões não Windows do protocolo Kerberos, esses pacotes podem ser habilitados. No entanto, isso pode abrir vetores de ataque em computadores que executam o Windows Server 2008 R2, Windows 7 e Windows 10. Você também pode desabilitar o DES para seus computadores que executam o Windows Vista e o Windows Server 2008.
Contramedida
Não configure essa política. Essa desabilitação forçará os computadores que executam o Windows Server 2008 R2, Windows 7 e Windows 10 a usar os conjuntos criptográficos AES ou RC4.
Impacto potencial
Se você não selecionar nenhum dos tipos de criptografia, os computadores que executam o Windows Server 2008 R2, Windows 7 e Windows 10 poderão ter falhas de autenticação Kerberos ao se conectar com computadores que executam versões não Windows do protocolo Kerberos.
Se você selecionar qualquer tipo de criptografia, reduzirá a eficácia da criptografia para autenticação Kerberos, mas melhorará a interoperabilidade com computadores que executam versões mais antigas do Windows. Implementações não Windows contemporâneas do protocolo Kerberos dão suporte à criptografia RC4 e AES de 128 bits e AES de 256 bits. A maioria das implementações, incluindo o protocolo Mit Kerberos e o protocolo Kerberos do Windows, está preterindo a criptografia DES.
Artigos relacionados
Comentários
Submeter e ver comentários