Por padrão, a criptografia Data Encryption Standard (DES) para a autenticação Kerberos é desabilitada no Windows 7 e no Windows Server 2008 R2. Este artigo descreve vários cenários em que você pode receber os seguintes eventos nos logs de aplicativo, segurança e sistema porque a criptografia DES é desabilitada:
- KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
- KDCEVENT_NO_KEY_INTERSECTION_TGS
Além disso, este artigo explica como ativar a criptografia DES para a autenticação Kerberos no Windows 7 e no Windows Server 2008 R2. Para obter informações detalhadas, consulte "Sintomas," "Causa" e seções de "Solução alternativa" deste artigo.
Considere os seguintes cenários:
- Um serviço usa uma conta de usuário ou uma conta de computador que esteja configurada para criptografia de DES somente em um computador que esteja executando o Windows 7 ou Windows Server 2008 R2.
- Um serviço usa uma conta de usuário ou uma conta de computador que está configurado somente a criptografia DES e que está em um domínio com controladores de domínio baseados no Windows Server 2008 R2.
- Um cliente que esteja executando o Windows 7 ou Windows Server 2008 R2 se conecta a um serviço usando uma conta de usuário ou uma conta de computador está configurada somente a criptografia DES.
- Uma relação de confiança é configurada somente a criptografia DES e inclui controladores de domínio que executam o Windows Server 2008 R2.
- Um aplicativo ou serviço está codificado para usar somente a criptografia DES.
Em qualquer um desses cenários, você pode receber os seguintes eventos de aplicativo, segurança e sistema registra junto com o
Microsoft-Windows-Kerberos-Key-Distribution-Center fonte:
Recolher esta tabelaExpandir esta tabela
| ID | Nome simbólico | Mensagem |
| 27 | KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS | Ao processar uma solicitação TGS para o servidor de destino % 1, a conta %2 não tinha uma chave adequada para gerar um tíquete Kerberos (a chave ausente tem uma identificação % 3). Os etypes solicitadas eram 4%. Os etypes de contas disponíveis foram 5%. |
| 16 | KDCEVENT_NO_KEY_INTERSECTION_TGS | Ao processar uma solicitação TGS para o servidor de destino % 1, a conta %2 não tinha uma chave adequada para gerar um tíquete Kerberos (a chave ausente tem uma identificação % 3). Os etypes solicitadas eram 4%. Os etypes de contas disponíveis foram 5%. Alterar ou redefinir a senha de %6 gerará uma chave correta. |
Por padrão, as configurações de segurança para a criptografia DES de Kerberos estão desabilitadas nos seguintes computadores:
- Computadores que executam o Windows 7
- Computadores que executam o Windows Server 2008 R2
- Controladores de domínio que executam o Windows Server 2008 R2
Observação Suporte à criptografia Kerberos existe no Windows 7 e no Windows Server 2008 R2.Por padrão, o Windows 7 usa os seguintes conjuntos de cifras de antecipada Encryption Standard (AES) ou RC4 para "tipos de criptografia" e "etypes":
- AES256-CTS-HMAC-SHA1-96
- AES128-CTS-HMAC-SHA1-96
- RC4-HMAC.
Os serviços configurados para apenas a criptografia DES falharem, a menos que as seguintes condições forem verdadeiras:
- O serviço será reconfigurado para oferecer suporte à criptografia RC4 ou para oferecer suporte a criptografia AES.
- Todos os controladores de domínio para o domínio da conta do serviço de todos os computadores cliente e todos os servidores são configurados para oferecer suporte a criptografia DES.
Por padrão, o Windows 7 e Windows Server 2008 R2 suportam os seguintes conjuntos de codificação: conjunto de codificação O CBC-DES-MD5 e o conjunto de codificação DES-CBC-CRC podem ser habilitados no Windows 7 quando for necessário.
É altamente recomendável que você verifique se a criptografia DES ainda é exigida no ambiente ou seleção se os serviços específicos exigem criptografia de DES somente. Verifique se o serviço pode usar a criptografia RC4 ou criptografia AES ou verificar se o fornecedor tem uma alternativa de autenticação tem uma criptografia mais forte.
Hotfix
978055
(http://support.microsoft.com/kb/978055/
)
é necessário para os controladores de domínio baseados no Windows Server 2008 R2 tratar corretamente as informações de tipo de criptografia que são replicadas dos controladores de domínio que executam o Windows Server 2003. Consulte a seção mais informações abaixo.
- Determine se o aplicativo está codificado para usar somente a criptografia DES. Mas ele está desativado, as configurações padrão em clientes que estejam executando o Windows 7 ou em centros de distribuição de chave (KDCs).
Para verificar se você é afetados por esse problema, reúna algumas rastreamentos de rede e, em seguida, verificar rastreamentos que se parecem com os rastreamentos de exemplo a seguir:Frame 1 {TCP:48, IPv4:47} <SRC IP> <DEST IP> KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
Frame 2 {TCP:48, IPv4:47} <DEST IP> <SRC IP> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)
0.000000 {TCP:48, IPv4:47} <source IP> <destination IP> KerberosV5 KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn>
- Etype:
+ SequenceOfHeader:
+ EType: aes256-cts-hmac-sha1-96 (18)
+ EType: aes128-cts-hmac-sha1-96 (17)
+ EType: rc4-hmac (23)
+ EType: rc4-hmac-exp (24)
+ EType: rc4 hmac old exp (0xff79)
+ TagA:
+ EncAuthorizationData:
- Determine se a conta de usuário ou a conta de computador é configurada somente a criptografia DES.
No snap-in "Utilizadores e computadores do Active Directory", abra propriedades de conta de usuário e, em seguida, verifique se o Use tipos de criptografia Kerberos DES para esta conta opção é definida sob a Conta guia.
Se você concluir afetados por esse problema e que você precisa ativar o tipo de criptografia DES para a autenticação Kerberos, habilite as seguintes diretivas de grupo aplicar o tipo de criptografia DES para todos os computadores que executam o Windows 7 ou Windows Server 2008 R2:
- No Group Policy Management Console (GPMC), localize o seguinte local:
Computador configuração Windows Settings \ Security Settings \ Local Policies\ opções de segurança
- Clique para selecionar o Segurança de rede: configurar tipos de criptografia permitidos para Kerberos opção.
- Clique para selecionar Definir estas configurações de diretiva e verifique se todos os seis caixas para os tipos de criptografia.
- Clique em OK. Feche o GPMC.
Observação Os conjuntos de diretiva a
SupportedEncryptionTypes entrada do registro para um valor de
0x7FFFFFFF. O
SupportedEncryptionTypes entrada do registro está no seguinte local:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Dependendo do cenário, talvez você precise definir esta diretiva no nível do domínio para o tipo de criptografia DES de aplicar a todos os clientes que executam o Windows 7 ou Windows Server 2008 R2. Ou, talvez seja necessário definir essa diretiva na unidade organizacional (UO) do controlador de domínio para os controladores de domínio que executam o Windows Server 2008 R2.
Os problemas de compatibilidade de aplicativo somente DES são encontrados em duas configurações a seguintes:
- O aplicativo de chamada está codificado somente a criptografia DES.
- A conta que executa o serviço está configurada para usar somente a criptografia DES.
Os seguintes critérios de tipo de criptografia devem ser atendidos para autenticação de Kerberos funcione:
- Um tipo comum existe entre o cliente e o controlador de domínio para o autenticador no cliente.
- Um tipo comum existe entre o controlador de domínio e o servidor de recurso para criptografar o tíquete.
- Um tipo comum existe entre o cliente e o servidor de recurso para a chave de sessão.
Considere a seguinte situação:
Recolher esta tabelaExpandir esta tabela
| Função | SISTEMA OPERACIONAL | Suporte para o nível de criptografia Kerberos |
| DC | Windows Server 2003 | RC4 e DES |
| Cliente | O Windows 7 | AES e RC4 |
| Servidor de recurso | J2EE | DES |
Nessa situação, os critérios 1 satisfeita por criptografia RC4 e os critérios 2 satisfeita por criptografia DES. O terceiro critério falha porque o servidor está somente DES e porque o cliente não dá suporte ao DES.
Se as seguintes condições forem verdadeiras no domínio, o hotfix 978055 deve ser instalado em cada controlador de domínio baseado no Windows Server 2008 R2:
- Existem algumas contas de usuário ou computador habilitado para DES.
- No mesmo domínio, há um ou mais controladores de domínio que executam o Windows 2000 Server, Windows Server 2003 ou Windows Server 2003 R2.
Observação- Hotfix 978055 é necessária para os controladores de domínio baseados no Windows Server 2008 R2 tratar corretamente as informações de tipo de criptografia que são replicadas dos controladores de domínio que executam o Windows Server 2003.
- Os controladores de domínio baseados no Windows Server 2008 não requerem esse hotfix.
- Esse hotfix não é necessário se o domínio possuir somente controladores de domínio baseados no Windows Server 2008.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
978055
(http://support.microsoft.com/kb/978055/
)
CORREÇÃO: Contas de usuários que utilizam criptografia DES para tipos de autenticação Kerberos não podem ser autenticadas em um domínio do Windows Server 2003 depois de um controlador de domínio do Windows Server 2008 R2 ingressa no domínio
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Tradução automática
Voltar para o início
