Kerberos için DES devre dışı bırakılırsa KDC olay kimliği 16 veya 27 günlüğe kaydedilir
Bu makalede, Windows 7 ve Windows Server 2008 R2'de Kerberos kimlik doğrulaması için DES şifrelemesini etkinleştirme açıklanmaktadır.
Şunlar için geçerlidir: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1
Özgün KB numarası: 977321
Özet
Windows 7, Windows Server 2008 R2 ve sonraki tüm Windows işletim sistemlerinden başlayarak, Kerberos kimlik doğrulaması için Veri Şifreleme Standardı (DES) şifrelemesi devre dışı bırakılır. Bu makalede, DES şifrelemesi devre dışı bırakıldığı için Uygulama, Güvenlik ve Sistem günlüklerinde aşağıdaki olayları alabileceğiniz çeşitli senaryolar açıklanmaktadır:
- KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
- KDCEVENT_NO_KEY_INTERSECTION_TGS
Ayrıca, bu makalede Windows 7 ve Windows Server 2008 R2'de Kerberos kimlik doğrulaması için DES şifrelemesini etkinleştirme açıklanmaktadır. Ayrıntılı bilgi için bu makalenin "Belirtiler", "Neden" ve "Geçici Çözüm" bölümlerine bakın.
Belirtiler
Aşağıdaki senaryoları göz önünde bulundurun:
- Hizmet, Windows 7 veya Windows Server 2008 R2 çalıştıran bir bilgisayarda yalnızca DES şifrelemesi için yapılandırılmış bir kullanıcı hesabı veya bilgisayar hesabı kullanır.
- Hizmet, yalnızca DES şifrelemesi için yapılandırılan ve Windows Server 2008 R2 tabanlı etki alanı denetleyicileriyle birlikte bir etki alanında bulunan bir kullanıcı hesabı veya bilgisayar hesabı kullanır.
- Windows 7 veya Windows Server 2008 R2 çalıştıran bir istemci, bir kullanıcı hesabı veya yalnızca DES şifrelemesi için yapılandırılmış bir bilgisayar hesabı kullanarak hizmete bağlanır.
- Güven ilişkisi yalnızca DES şifrelemesi için yapılandırılır ve Windows Server 2008 R2 çalıştıran etki alanı denetleyicileri içerir.
- Bir uygulama veya hizmet yalnızca DES şifrelemesini kullanacak şekilde sabit kodlanmıştır.
Bu senaryolardan herhangi birinde Uygulama, Güvenlik ve Sistem günlüklerinde Microsoft-Windows-Kerberos-Key-Distribution-Center kaynağıyla birlikte aşağıdaki olayları alabilirsiniz:
| Kimlik | Sembolik ad | İleti |
|---|---|---|
| 27 | KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS | %1 hedef sunucusu için bir TGS isteği işlenirken, %2 hesabının Kerberos anahtarı oluşturmak için uygun bir anahtarı yoktu (eksik anahtarın kimliği %3. İstenen etype'lar :%4. Kullanılabilir hesapların etype'ları :%5. Olay Kimliği 27 - KDC Şifreleme Türü Yapılandırması |
| 16 | KDCEVENT_NO_KEY_INTERSECTION_TGS | %1 hedef sunucusu için bir TGS isteği işlenirken, %2 hesabının Kerberos anahtarı oluşturmak için uygun bir anahtarı yoktu (eksik anahtarın kimliği %3. İstenen etype'lar :%4. Kullanılabilir hesapların etype'ları :%5. %6 parolasını değiştirmek veya sıfırlamak uygun bir anahtar oluşturur. Olay Kimliği 16 - Kerberos Anahtar Bütünlüğü |
Neden
Varsayılan olarak, Kerberos için DES şifrelemesi güvenlik ayarları aşağıdaki bilgisayarlarda devre dışı bırakılır:
- Windows 7 çalıştıran bilgisayarlar
- Windows Server 2008 R2 çalıştıran bilgisayarlar
- Windows Server 2008 R2 çalıştıran etki alanı denetleyicileri
Not
Kerberos için şifreleme desteği Windows 7'de ve Windows Server 2008'de varsayılan olarak R2.By, Windows 7 "şifreleme türleri" ve "etypes" için aşağıdaki Gelişmiş Şifreleme Standardı (AES) veya RC4 şifreleme paketlerini kullanır:
- AES256-CTS-HMAC-SHA1-96
- AES128-CTS-HMAC-SHA1-96
- RC4-HMAC
Yalnızca DES şifrelemesi için yapılandırılan hizmetler, aşağıdaki koşullar doğru olmadığı sürece başarısız olur:
- Hizmet, RC4 şifrelemesini veya AES şifrelemesini destekleyecek şekilde yeniden yapılandırılır.
- Hizmet hesabının etki alanı için tüm istemci bilgisayarlar, tüm sunucular ve tüm etki alanı denetleyicileri DES şifrelemesini destekleyecek şekilde yapılandırılır.
Varsayılan olarak, Windows 7 ve Windows Server 2008 R2 aşağıdaki şifreleme paketlerini destekler: DES-CBC-MD5 şifreleme paketi ve DES-CBC-CRC şifreleme paketi gerektiğinde Windows 7'de etkinleştirilebilir.
Geçici Çözüm
Ortamda DES şifrelemesinin hala gerekli olup olmadığını denetlemenizi veya belirli hizmetlerin yalnızca DES şifrelemesi gerekip gerektirmediğini denetlemenizi kesinlikle öneririz. Hizmetin RC4 şifrelemesini mi yoksa AES şifrelemesini mi kullanabildiğini denetleyin veya satıcının daha güçlü şifrelemeye sahip bir kimlik doğrulama alternatifi olup olmadığını denetleyin.
Windows Server 2008 R2 tabanlı etki alanı denetleyicilerinin Windows Server 2003 çalıştıran etki alanı denetleyicilerinden çoğaltılan şifreleme türü bilgilerini doğru şekilde işlemesi için düzeltme 978055 gereklidir. Aşağıdaki daha fazla bilgi bölümüne bakın.
Uygulamanın yalnızca DES şifrelemesini kullanacak şekilde sabit kodlanmış olup olmadığını belirleyin. Ancak Windows 7 çalıştıran istemcilerde veya Anahtar Dağıtım Merkezlerinde (KDC) varsayılan ayarlarla devre dışı bırakılır.
Bu sorundan etkilenip etkilenmedığınızı denetlemek için bazı ağ izlemelerini toplayın ve ardından aşağıdaki örnek izlemelere benzer izlemeleri denetleyin:
Çerçeve 1 {TCP:48, IPv4:47} <SRC IP><DEST IP> KerberosV5 KerberosV5:TGS İstek Bölgesi: CONTOSO.COM Sname: HTTP/<konak adı.<>FQDN>
Çerçeve 2 {TCP:48, IPv4:47} <DEST IP SRC IP><> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)
0.000000 {TCP:48, IPv4:47} <kaynak IP<>hedefi IP> KerberosV5 KerberosV5:TGS İstek Bölgesi: <fqdn> Sname: HTTP/<konak adı.<>Fqdn>
-Etype:
+SequenceOfHeader:
+EType: aes256-cts-hmac-sha1-96 (18)
+EType: aes128-cts-hmac-sha1-96 (17)
+EType: rc4-hmac (23)
+EType: rc4-hmac-exp (24)
+EType: rc4 hmac eski exp (0xff79)
+TagA:
+EncAuthorizationData:Kullanıcı hesabının mı yoksa bilgisayar hesabının mı yalnızca DES şifrelemesi için yapılandırıldığını belirleyin.
"Active Directory Kullanıcıları ve Bilgisayarları" ek bileşeninde kullanıcı hesabı özelliklerini açın ve ardından Bu hesap için Kerberos DES şifreleme türlerini kullan seçeneğinin Hesap sekmesinin altında ayarlanıp ayarlanmadığını denetleyin.
Bu sorundan etkilendiğinizi ve Kerberos kimlik doğrulaması için DES şifreleme türünü açmanız gereken sonucuna varırsanız, Windows 7 veya Windows Server 2008 R2 çalıştıran tüm bilgisayarlara DES şifreleme türünü uygulamak için aşağıdaki Grup İlkelerini etkinleştirin:
grup ilkesi Yönetim Konsolu'nda (GPMC) aşağıdaki konumu bulun:
Bilgisayar Yapılandırması\ Windows Ayarları\ Güvenlik Ayarları\ Yerel İlkeler\ Güvenlik Seçenekleri
Ağ güvenliği: Kerberos için izin verilen şifreleme türlerini yapılandırma seçeneğini seçmek için tıklayın.
Bu ilke ayarlarını ve şifreleme türleri için altı onay kutusunu da tanımla'ya tıklayarak seçin.
Tamam'ı tıklatın. GPMC'yi kapatın.
Not
İlke, kayıt defteri girdisini SupportedEncryptionTypes0x7FFFFFFF değerine ayarlar. SupportedEncryptionTypes Kayıt defteri girdisi şu konumdadır:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Senaryoya bağlı olarak, DeS şifreleme türünü Windows 7 veya Windows Server 2008 R2 çalıştıran tüm istemcilere uygulamak için bu ilkeyi etki alanı düzeyinde ayarlamanız gerekebilir. Veya bu ilkeyi, Windows Server 2008 R2 çalıştıran etki alanı denetleyicileri için etki alanı denetleyicisinin kuruluş biriminde (OU) ayarlamanız gerekebilir.
Daha fazla bilgi
Aşağıdaki iki yapılandırmada yalnızca DES uygulama uyumluluğu sorunlarıyla karşılaşılır:
- Çağıran uygulama yalnızca DES şifrelemesi için sabit kodlanmıştır.
- Hizmeti çalıştıran hesap yalnızca DES şifrelemesi kullanacak şekilde yapılandırılır.
Kerberos kimlik doğrulamasının çalışması için aşağıdaki şifreleme türü ölçütlerinin karşılanması gerekir:
- İstemci ile istemcideki doğrulayıcının etki alanı denetleyicisi arasında ortak bir tür vardır.
- Anahtarı şifrelemek için etki alanı denetleyicisi ile kaynak sunucusu arasında ortak bir tür vardır.
- İstemci ile oturum anahtarı için kaynak sunucusu arasında ortak bir tür vardır.
Aşağıdaki durumu göz önünde bulundurun:
| Rol | OS | Kerberos için desteklenen şifreleme düzeyi |
|---|---|---|
| DC | Windows Server 2003 | RC4 ve DES |
| İstemci | Windows 7 | AES ve RC4 |
| Kaynak Sunucusu | J2EE | DES |
Bu durumda, 1 ölçütü RC4 şifrelemesi tarafından karşılanır ve 2 ölçütü DES şifrelemesi tarafından karşılanır. Sunucu yalnızca DES olduğundan ve istemci DES'yi desteklemediğinden üçüncü ölçüt başarısız olur.
Düzeltme 978055, etki alanında aşağıdaki koşullar geçerliyse her Windows Server 2008 R2 tabanlı etki alanı denetleyicisine yüklenmelidir:
- DES özellikli bazı kullanıcı veya bilgisayar hesapları vardır.
- Aynı etki alanında, Windows 2000 Server, Windows Server 2003 veya Windows Server 2003 R2 çalıştıran bir veya daha fazla etki alanı denetleyicisi vardır.
Not
- Windows Server 2008 R2 tabanlı etki alanı denetleyicilerinin Windows Server 2003 çalıştıran etki alanı denetleyicilerinden çoğaltılan şifreleme türü bilgilerini doğru şekilde işlemesi için düzeltme 978055 gereklidir.
- Windows Server 2008 tabanlı etki alanı denetleyicileri bu düzeltmeyi gerektirmez.
- Etki alanında yalnızca Windows Server 2008 tabanlı etki alanı denetleyicileri varsa bu düzeltme gerekli değildir.
Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:
978055 DÜZELTME: Kerberos kimlik doğrulama türleri için DES şifrelemesi kullanan kullanıcı hesapları, bir Windows Server 2008 R2 etki alanı denetleyicisi etki alanına katıldıktan sonra Windows Server 2003 etki alanında kimlik doğrulaması yapılamaz
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin