Odstránenie veľmi nezabezpečeného šifrovania DES z používateľských kont
Prečo vezmite do úvahy toto
Šifrovanie DES používa na šifrovanie obsahu 56-bitový kľúč, ktorý sa teraz považuje za vysoko nezabezpečený. Znamená to, že kontá, ktoré môžu použiť DES na overenie v službách, sú značne väčšie riziko, že sa dešifruje postupnosť prihlásenia tohto konta a že konto bude zneužiné.
Pozrite si informácie o probléme od zákazníckeho inžiniera
Osvedčené postupy & z kontextu
DES sa považuje za slabú kryptografiu a už nie je predvolene povolená v overovanom protokole Kerberos v protokoloch Windows 7 a Windows Server 2008 R2.
Toto nastavenie sa použilo, ak používateľské konto alebo dôvera boli spustené v operačnom systéme, platforme Java alebo verzii Kerberos nepodporuje RC4. Preto bolo konto zmenené tak, aby podporovalo len DES. Táto požiadavka sa môže vzťahovať aj na dôveryhodné zdroje so staršími Windows Kerberos. Aj v prípade inovácie operačného systému alebo platformy na podporu softvéru RC4 alebo Advanced Encryption Standard (AES) sa kontá možno neaktualizovali a budú stále používať iba DES. Ďalším možným problémom je, že aplikácia môže mať pevné kódované typy šifrovania Kerberos.
Keďže dĺžka kľúča des je len 56-bitová, považuje sa za to, že dokonca aj nepovšimovaný počítačový hardvér môže za menej než dva dni narušiť obsah šifrovaný DES. Preto sa odporúča odstrániť toto nastavenie, ak je k dispozícii.
Navrhované akcie
Vo všetkých identifikovaných používateľských kontách skontrolujte všetky požiadavky pre kontá na používanie štandardu šifrovania DES a potom odstráňte typ šifrovania Kerberos DES pre toto****konto.
Nasledujúca rutina typu cmdlet identifikuje všetky používateľské kontá, v ktorých je zapnuté šifrovanie DES.
Get-ADUser -Filter {UserAccountControl -band 0x200000}
Ďalšie informácie
Ďalšie informácie a odporúčania na opráv tohto problému nájdete v téme Analyzátor osvedčených postupov pre AD DS v službe Active Directory: Používateľské kontá a dôveryhodné údaje v tejto doméne by nemali byť nakonfigurované iba pre DES. https://technet.microsoft.com/library/ff646918(WS.10).aspx
Všeobecné pripomienky týkajúce sa Strediska zdrojov alebo obsahu nám môžete odoslať odpoveď na správu UserVoice. Konkrétne požiadavky a aktualizácie obsahu týkajúce sa centra služieb vám poskytne náš tím podpory a odošliteprípad.