Από προεπιλογή, κρυπτογράφησης Data Encryption Standard (DES) για τον έλεγχο ταυτότητας Kerberos είναι απενεργοποιημένο στον Windows 7 και στον Windows Server 2008 R2. Αυτό το άρθρο περιγράφει διάφορα σενάρια όπου ενδέχεται να λάβετε τα ακόλουθα συμβάντα στα αρχεία καταγραφής εφαρμογής, ασφαλείας και συστήματος επειδή είναι απενεργοποιημένη κρυπτογράφηση DES:
- KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
- KDCEVENT_NO_KEY_INTERSECTION_TGS
Επιπλέον, αυτό το άρθρο εξηγεί πώς μπορείτε να ενεργοποιήσετε την κρυπτογράφηση DES για έλεγχο ταυτότητας Kerberos σε Windows 7 και Windows Server 2008 R2. Για λεπτομερείς πληροφορίες, ανατρέξτε στην ενότητα "Συμπτώματα," "Αιτία", και οι ενότητες "Επίλυση" αυτού του άρθρου.
Σκεφθείτε τα παρακάτω σενάρια:
- Μια υπηρεσία χρησιμοποιεί ένα λογαριασμό χρήστη ή υπολογιστή που έχει ρυθμιστεί για μόνο κρυπτογράφηση DES σε έναν υπολογιστή που εκτελεί Windows 7 ή Windows Server 2008 R2.
- Μια υπηρεσία χρησιμοποιεί ένα λογαριασμό χρήστη ή υπολογιστή που έχει ρυθμιστεί για μόνο κρυπτογράφηση DES και που βρίσκεται σε έναν τομέα, μαζί με τους ελεγκτές τομέα που βασίζεται σε Windows Server 2008 R2.
- Ένα πρόγραμμα-πελάτη που εκτελεί Windows 7 ή Windows Server 2008 R2 συνδέεται με μια υπηρεσία, χρησιμοποιώντας ένα λογαριασμό χρήστη ή υπολογιστή που έχει ρυθμιστεί για μόνο κρυπτογράφηση DES.
- Μια σχέση αξιοπιστίας έχει ρυθμιστεί για μόνο κρυπτογράφηση DES και περιλαμβάνει ελεγκτές τομέα που εκτελούν Windows Server 2008 R2.
- Μια εφαρμογή ή υπηρεσία είναι κωδικοποιημένη για να χρησιμοποιεί μόνο κρυπτογράφηση DES.
Σε οποιοδήποτε από αυτά τα σενάρια, ενδέχεται να λάβετε τα ακόλουθα συμβάντα εφαρμογών, ασφαλείας, και το σύστημα συνδέεται μαζί με το
Microsoft-Windows-Kerberos-Key-Distribution-Center Προέλευση:
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
| ΑΝΑΓΝΩΡΙΣΤΙΚΌ | Συμβολικό όνομα | Μήνυμα |
| 27 | KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS | Κατά την επεξεργασία μιας αίτησης TGS για το διακομιστή προορισμού % 1, το λογαριασμό %2 δεν είχε κατάλληλο κλειδί για τη δημιουργία ενός δελτίου Kerberos (λείπει το κλειδί έχει ένα Αναγνωριστικό % 3). Το etypes που ζητήθηκε ήταν % 4. Η διαθέσιμη etypes λογαριασμοί ήταν % 5. |
| 16 | KDCEVENT_NO_KEY_INTERSECTION_TGS | Κατά την επεξεργασία μιας αίτησης TGS για το διακομιστή προορισμού % 1, το λογαριασμό %2 δεν είχε κατάλληλο κλειδί για τη δημιουργία ενός δελτίου Kerberos (λείπει το κλειδί έχει ένα Αναγνωριστικό % 3). Το etypes που ζητήθηκε ήταν % 4. Η διαθέσιμη etypes λογαριασμοί ήταν % 5. Αλλαγή ή η επαναφορά του κωδικού πρόσβασης του %6 θα δημιουργήσει ένα κατάλληλο κλειδί. |
Από προεπιλογή, οι ρυθμίσεις ασφαλείας για κρυπτογράφηση DES για το Kerberos είναι απενεργοποιημένες στους ακόλουθους υπολογιστές:
- Υπολογιστές που εκτελούν Windows 7
- Υπολογιστές που εκτελούν Windows Server 2008 R2
- Οι ελεγκτές τομέα που εκτελούν Windows Server 2008 R2
Σημείωση Υποστήριξη κρυπτογράφησης Kerberos υπάρχει στα Windows 7 και Windows Server 2008 R2.Από προεπιλογή, τα Windows 7 χρησιμοποιεί τα ακόλουθα προγράμματα κρυπτογράφησης πρότυπο εκ των προτέρων κρυπτογράφησης (AES) ή RC4 "τύπους κρυπτογράφησης" και "etypes":
- AES256-CTS-HMAC-SHA1-96
- AES128-CTS-HMAC-SHA1-96
- RC4 HMAC
Υπηρεσίες που έχουν ρυθμιστεί για μόνο κρυπτογράφηση DES αποτύχει, εκτός αν ισχύουν οι ακόλουθες συνθήκες:
- Η υπηρεσία είναι απαιτείται υποστηρίζει κρυπτογράφηση RC4 ή υποστηρίζει κρυπτογράφηση AES.
- Όλοι οι υπολογιστές-πελάτες, όλους τους διακομιστές και όλοι οι ελεγκτές τομέα για τον τομέα του λογαριασμού υπηρεσίας έχουν ρυθμιστεί ώστε να υποστηρίζει κρυπτογράφηση DES.
Από προεπιλογή, τα Windows 7 και Windows Server 2008 R2 υποστηρίζουν τα ακόλουθα προγράμματα κρυπτογράφησης: οικογένεια προγραμμάτων κρυπτογράφησης του DES-CBC-MD5 και η οικογένεια προγραμμάτων κρυπτογράφησης DES-CBC-CRC μπορεί να ενεργοποιηθεί σε Windows 7 όταν είναι απαραίτητο.
Συνιστάται να ελέγξετε αν κρυπτογράφηση DES εξακολουθεί να απαιτείται στο περιβάλλον ή ελέγχου είτε συγκεκριμένες υπηρεσίες απαιτούν μόνο κρυπτογράφηση DES. Ελέγξτε αν η υπηρεσία μπορεί να χρησιμοποιήσετε κρυπτογράφηση RC4 ή AES κρυπτογράφησης ή ελέγξτε αν ο προμηθευτής έχει εναλλακτική ελέγχου ταυτότητας που έχει ισχυρότερη κρυπτογράφηση.
Η επείγουσα επιδιόρθωση
978055
(http://support.microsoft.com/kb/978055/
)
απαιτείται για τους ελεγκτές τομέα που βασίζεται σε Windows Server 2008 R2 για το σωστό χειρισμό πληροφοριών τύπος κρυπτογράφησης που έχει αναπαραχθεί από τους ελεγκτές τομέα που εκτελούν Windows Server 2003. Δείτε την παρακάτω ενότητα περισσότερες πληροφορίες.
- Καθορίστε αν η εφαρμογή είναι σχεδιασμένο ώστε να χρησιμοποιούν μόνο κρυπτογράφηση DES. Αλλά είναι απενεργοποιημένη από τις προεπιλεγμένες ρυθμίσεις, οι υπολογιστές-πελάτες που εκτελούν Windows 7 ή κέντρα διανομής κλειδιού (KDCs).
Για να ελέγξετε αν επηρεάζεστε από αυτό το ζήτημα, συλλέξτε ορισμένα ίχνη δικτύου και στη συνέχεια ελέγξτε για ίχνη που μοιάζουν με το ακόλουθο δείγμα ίχνη:Frame 1 {TCP:48, IPv4:47} <SRC IP> <DEST IP> KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
Frame 2 {TCP:48, IPv4:47} <DEST IP> <SRC IP> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)
0.000000 {TCP:48, IPv4:47} <source IP> <destination IP> KerberosV5 KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn>
- Etype:
+ SequenceOfHeader:
+ EType: aes256-cts-hmac-sha1-96 (18)
+ EType: aes128-cts-hmac-sha1-96 (17)
+ EType: rc4-hmac (23)
+ EType: rc4-hmac-exp (24)
+ EType: rc4 hmac old exp (0xff79)
+ TagA:
+ EncAuthorizationData:
- Προσδιορίστε αν το λογαριασμό χρήστη ή τον λογαριασμό υπολογιστή έχει ρυθμιστεί μόνο κρυπτογράφηση DES.
Στο "Active Directory χρήστες και υπολογιστές" συμπληρωματικό Άνοιγμα ιδιότητες του λογαριασμού χρήστη και στη συνέχεια ελέγξτε εάν το Χρησιμοποιήστε τύπους κρυπτογράφησης Kerberos DES για αυτόν το λογαριασμό επιλογή ορίζεται υπό το Λογαριασμός στην καρτέλα.
Εάν συνάπτουν ότι επηρεάζονται από αυτό το ζήτημα και ότι πρέπει να ενεργοποιήσετε τον τύπο κρυπτογράφησης DES για έλεγχο ταυτότητας Kerberos, ενεργοποιήστε τις παρακάτω πολιτικές ομάδας για να εφαρμόσετε τον τύπο κρυπτογράφησης DES σε όλους τους υπολογιστές που εκτελούν Windows 7 ή Windows Server 2008 R2:
- Στο της πολιτικής ομάδας διαχείρισης κονσόλας (GPMC), εντοπίστε την ακόλουθη θέση:
Υπολογιστής Configuration\ Windows Settings\ ασφαλείας Settings\ τοπικό Policies\ επιλογές ασφαλείας
- Κάντε κλικ για να επιλέξετε το Ασφάλεια δικτύου: ρύθμιση παραμέτρων τύπους κρυπτογράφησης που επιτρέπεται για το Kerberos επιλογή.
- Κάντε κλικ στην επιλογή Προσδιορισμός των ρυθμίσεων πολιτικής και όλες τις έξι πλαίσια για τους τύπους κρυπτογράφησης.
- Κάντε κλικ στο κουμπί OK. Κλείστε την κονσόλα GPMC.
Σημείωση Ορίζει την πολιτική του
SupportedEncryptionTypes η καταχώρηση μητρώου στην τιμή
0x7FFFFFFF. Το
SupportedEncryptionTypes η καταχώρηση μητρώου είναι στην ακόλουθη θέση:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Ανάλογα με το σενάριο, ίσως χρειαστεί να ορίσετε αυτήν την πολιτική σε επίπεδο τομέα για να εφαρμόσετε τον τύπο κρυπτογράφησης DES σε όλα τα προγράμματα-πελάτες που εκτελούν Windows 7 ή Windows Server 2008 R2. Ή, ίσως χρειαστεί να ορίσετε αυτήν την πολιτική στην οργανική μονάδα (OU) του ελεγκτή τομέα για τους ελεγκτές τομέα που εκτελούν Windows Server 2008 R2.
Τα ζητήματα συμβατότητας εφαρμογής DES συναντώνται στις ακόλουθες δύο ρυθμίσεις παραμέτρων:
- Η εφαρμογή κλήσης είναι κωδικοποιημένα για μόνο κρυπτογράφηση DES.
- Ο λογαριασμός που εκτελεί την υπηρεσία έχει ρυθμιστεί για χρήση μόνο κρυπτογράφηση DES.
Πρέπει να πληρούνται τα ακόλουθα κριτήρια τύπο κρυπτογράφησης για τον έλεγχο ταυτότητας Kerberos για να:
- Υπάρχει κοινός τύπος μεταξύ του πελάτη και του ελεγκτή τομέα για έλεγχο ταυτότητας του υπολογιστή-πελάτη.
- Υπάρχει κοινός τύπος μεταξύ του ελεγκτή τομέα και το διακομιστή του πόρου για την κρυπτογράφηση του δελτίου.
- Υπάρχει κοινός τύπος μεταξύ του υπολογιστή-πελάτη και διακομιστή πόρων για το κλειδί περιόδου λειτουργίας.
Εξετάστε την ακόλουθη περίπτωση:
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
| Ρόλος | OS | Υποστηρίζεται το επίπεδο κρυπτογράφησης για το Kerberos |
| DC | Windows Server 2003 | RC4 και DES |
| Πρόγραμμα-πελάτης | Windows 7 | AES και RC4 |
| Πόρων διακομιστή | J2EE | DES |
Στην περίπτωση αυτή, τα κριτήρια 1 ικανοποιείται με κρυπτογράφηση RC4 και κριτήρια 2 πληρούνται με κρυπτογράφηση DES. Το τρίτο κριτήριο αποτυγχάνει επειδή ο διακομιστής είναι μόνο DES και επειδή το πρόγραμμα-πελάτης δεν υποστηρίζει DES.
Πρέπει να εγκατασταθεί η επείγουσα επιδιόρθωση 978055 σε κάθε ελεγκτή τομέα που βασίζεται σε Windows Server 2008 R2, εάν ισχύουν οι ακόλουθες συνθήκες στον τομέα:
- Υπάρχουν ορισμένες ενεργοποιημένη DES λογαριασμούς χρήστη ή υπολογιστή.
- Στον ίδιο τομέα, υπάρχει ένας ή περισσότεροι ελεγκτές τομέα που εκτελούν Windows 2000 Server, Windows Server 2003 ή Windows Server 2003 R2.
Σημείωση- Απαιτείται επείγουσα επιδιόρθωση 978055 για τους ελεγκτές τομέα που βασίζεται σε Windows Server 2008 R2 για το σωστό χειρισμό πληροφοριών τύπος κρυπτογράφησης που έχει αναπαραχθεί από τους ελεγκτές τομέα που εκτελούν Windows Server 2003.
- Οι ελεγκτές τομέα που βασίζεται σε Windows Server 2008 δεν απαιτούν αυτήν την επείγουσα επιδιόρθωση.
- Αυτή η επείγουσα επιδιόρθωση δεν απαιτείται εάν ο τομέας έχει μόνο σε ελεγκτές τομέα που βασίζεται σε Windows Server 2008.
Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
978055
(http://support.microsoft.com/kb/978055/
)
ΕΠΙΔΙΌΡΘΩΣΗ: Λογαριασμοί χρηστών που χρησιμοποιούν κρυπτογράφηση DES για τους τύπους ελέγχου ταυτότητας Kerberos δεν ελέγχεται σε έναν τομέα Windows Server 2003 μετά από έναν ελεγκτή τομέα Windows Server 2008 R2 συμμετέχει στον τομέα
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Μηχανικά μεταφρασμένο
Επιστροφή στην αρχή
