A ID do evento KDC 16 ou 27 será registrada se o DES for Kerberos estiver desabilitado
Este artigo descreve como habilitar a criptografia DES para autenticação Kerberos no Windows 7 e no Windows Server 2008 R2.
Aplica-se a: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1
Número de KB original: 977321
Resumo
Começando com Windows 7, Windows Server 2008 R2 e todos os sistemas operacionais Windows posteriores, a criptografia DES (Data Encryption Standard) para autenticação Kerberos está desabilitada. Este artigo descreve vários cenários em que você pode receber os seguintes eventos nos logs de Aplicativo, Segurança e Sistema porque a criptografia DES está desabilitada:
- KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
- KDCEVENT_NO_KEY_INTERSECTION_TGS
Além disso, este artigo explica como habilitar a criptografia DES para autenticação Kerberos no Windows 7 e no Windows Server 2008 R2. Para obter informações detalhadas, confira as seções "Sintomas", "Causa" e "Solução Alternativa" deste artigo.
Sintomas
Considere as seguintes situações:
- Um serviço usa uma conta de usuário ou uma conta de computador configurada apenas para criptografia DES em um computador que está executando o Windows 7 ou o Windows Server 2008 R2.
- Um serviço usa uma conta de usuário ou uma conta de computador configurada apenas para criptografia DES e que está em um domínio junto com controladores de domínio baseados no Windows Server 2008 R2.
- Um cliente que está executando o Windows 7 ou Windows Server 2008 R2 se conecta a um serviço usando uma conta de usuário ou uma conta de computador configurada apenas para criptografia DES.
- Uma relação de confiança é configurada apenas para criptografia DES e inclui controladores de domínio que estão executando o Windows Server 2008 R2.
- Um aplicativo ou um serviço é codificado para usar apenas a criptografia DES.
Em qualquer um desses cenários, você pode receber os seguintes eventos nos logs de Aplicativo, Segurança e Sistema junto com a fonte Microsoft-Windows-Kerberos-Key-Distribution-Center :
| ID | Nome simbólico | Mensagem |
|---|---|---|
| 27 | KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS | Ao processar uma solicitação TGS para o servidor de destino %1, a conta %2 não tinha uma chave adequada para gerar um tíquete Kerberos (a chave ausente tem uma ID de %3). Os etipos solicitados eram %4. Os etipos disponíveis das contas eram %5. ID do evento 27 – Configuração do tipo de criptografia KDC |
| 16 | KDCEVENT_NO_KEY_INTERSECTION_TGS | Ao processar uma solicitação TGS para o servidor de destino %1, a conta %2 não tinha uma chave adequada para gerar um tíquete Kerberos (a chave ausente tem uma ID de %3). Os etipos solicitados eram %4. Os etipos disponíveis das contas eram %5. Alterar ou redefinir a senha de %6 gerará uma chave adequada. ID do evento 16 – Integridade da Chave Kerberos |
Motivo
Por padrão, as configurações de segurança para criptografia DES para Kerberos são desabilitadas nos seguintes computadores:
- Computadores que estão executando o Windows 7
- Computadores que estão executando o Windows Server 2008 R2
- Controladores de domínio que estão executando o Windows Server 2008 R2
Observação
O suporte criptográfico para Kerberos existe no Windows 7 e no Windows Server 2008 R2.By padrão, o Windows 7 usa os seguintes pacotes de criptografia avançada (AES) ou RC4 para "tipos de criptografia" e para "etypes":
- AES256-CTS-HMAC-SHA1-96
- AES128-CTS-HMAC-SHA1-96
- RC4-HMAC
Os serviços configurados para apenas criptografia DES falham, a menos que as seguintes condições sejam verdadeiras:
- O serviço é reconfigurado para dar suporte à criptografia RC4 ou para dar suporte à criptografia AES.
- Todos os computadores cliente, todos os servidores e todos os controladores de domínio para o domínio da conta de serviço são configurados para dar suporte à criptografia DES.
Por padrão, o Windows 7 e o Windows Server 2008 R2 dão suporte aos seguintes pacotes de criptografia: o pacote de criptografia DES-CBC-MD5 e o pacote de criptografia DES-CBC-CRC podem ser habilitados no Windows 7 quando necessário.
Solução alternativa
Recomendamos fortemente que você marcar se a criptografia DES ainda é necessária no ambiente ou marcar se serviços específicos exigem apenas criptografia DES. Verifique se o serviço pode usar criptografia RC4 ou criptografia AES ou marcar se o fornecedor tem uma alternativa de autenticação que tenha criptografia mais forte.
O hotfix 978055 é necessário para que os controladores de domínio baseados no Windows Server 2008 R2 manipulem corretamente as informações de tipo de criptografia replicadas dos controladores de domínio que estão executando o Windows Server 2003. Confira mais informações abaixo.
Determine se o aplicativo é codificado para usar apenas criptografia DES. Mas ele é desabilitado pelas configurações padrão em clientes que estão executando o Windows 7 ou em KDCs (Centros de Distribuição de Chaves).
Para marcar se você for afetado por esse problema, colete alguns rastreamentos de rede e, em seguida, marcar para rastreamentos que se assemelham aos seguintes rastreamentos de exemplo:
Quadro 1 {TCP:48, IPv4:47} <IP SRC><DEST IP> KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname.<>FQDN>
Quadro 2 {TCP:48, IPv4:47} <IP DEST IP><> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)
0.000000 {TCP:48, IPv4:47} <destino ip><de origem KerberosV5> KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname.<>Fqdn>
-Etype:
+SequenceOfHeader:
+EType: aes256-cts-hmac-sha1-96 (18)
+EType: aes128-cts-hmac-sha1-96 (17)
+EType: rc4-hmac (23)
+EType: rc4-hmac-exp (24)
+EType: rc4 hmac exp antigo (0xff79)
+TagA:
+EncAuthorizationData:Determine se a conta de usuário ou a conta do computador está configurada apenas para criptografia DES.
No snap-in "Usuários e Computadores do Active Directory", abra as propriedades da conta de usuário e, em seguida, marcar se a opção Usar a criptografia Kerberos DES para essa conta é definida na guia Conta.
Se você concluir que é afetado por esse problema e que precisa ativar o tipo de criptografia DES para autenticação Kerberos, habilite as seguintes Políticas de Grupo para aplicar o tipo de criptografia DES a todos os computadores que estão executando o Windows 7 ou o Windows Server 2008 R2:
No GPMC (Console de Gerenciamento Política de Grupo), localize o seguinte local:
Configuração do computador\ Configurações do Windows\ Configurações de segurança\ Políticas locais\ Opções de segurança
Clique para selecionar a segurança de rede: configurar tipos de criptografia permitidos para a opção Kerberos.
Clique para selecionar Definir essas configurações de política e todas as seis caixas de marcar para os tipos de criptografia.
Clique em OK. Feche o GPMC.
Observação
A política define a entrada do SupportedEncryptionTypes registro como um valor de 0x7FFFFFFF. A SupportedEncryptionTypes entrada do registro está no seguinte local:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Dependendo do cenário, talvez seja necessário definir essa política no nível de domínio para aplicar o tipo de criptografia DES a todos os clientes que estão executando o Windows 7 ou o Windows Server 2008 R2. Ou talvez você precise definir essa política na OU (unidade organizacional) do controlador de domínio para os controladores de domínio que estão executando o Windows Server 2008 R2.
Mais informações
Os problemas de compatibilidade do aplicativo somente DES são encontrados nas duas configurações a seguir:
- O aplicativo de chamada é codificado apenas para criptografia DES.
- A conta que executa o serviço está configurada para usar apenas a criptografia DES.
Os seguintes critérios de tipo de criptografia devem ser atendidos para que a autenticação Kerberos funcione:
- Existe um tipo comum entre o cliente e o controlador de domínio do autenticador no cliente.
- Existe um tipo comum entre o controlador de domínio e o servidor de recursos para criptografar o tíquete.
- Existe um tipo comum entre o cliente e o servidor de recursos para a chave de sessão.
Considere a seguinte situação:
| Função | SO | Nível de criptografia com suporte para Kerberos |
|---|---|---|
| DC | Windows Server 2003 | RC4 e DES |
| Cliente | Windows 7 | AES e RC4 |
| Servidor de Recursos | J2EE | DES |
Nessa situação, os critérios 1 são atendidos pela criptografia RC4 e os critérios 2 são atendidos pela criptografia DES. O terceiro critério falha porque o servidor é somente DES e porque o cliente não dá suporte ao DES.
O 978055 de hotfix deve ser instalado em cada controlador de domínio baseado no Windows Server 2008 R2 se as seguintes condições forem verdadeiras no domínio:
- Há algumas contas de usuário ou computador habilitadas para DES.
- No mesmo domínio, há um ou mais controladores de domínio que estão executando o Windows 2000 Server, Windows Server 2003 ou Windows Server 2003 R2.
Observação
- O hotfix 978055 é necessário para que os controladores de domínio baseados no Windows Server 2008 R2 lidem corretamente com as informações de tipo de criptografia replicadas dos controladores de domínio que estão executando o Windows Server 2003.
- Os controladores de domínio baseados no Windows Server 2008 não exigem esse hotfix.
- Esse hotfix não será necessário se o domínio tiver apenas controladores de domínio baseados no Windows Server 2008.
Para obter mais informações, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento da Microsoft:
978055 CORREção: contas de usuário que usam criptografia DES para tipos de autenticação Kerberos não podem ser autenticadas em um domínio do Windows Server 2003 depois que um controlador de domínio do Windows Server 2008 R2 ingressar no domínio
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários