Αλλαγή αρχείου καταγραφής
|
Αλλαγή 1: 19 Ιουνίου 2023:
|
Σε αυτό το άρθρο
Σύνοψη
Οι ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 8 Νοεμβρίου 2022 αντιμετωπίζουν την παράκαμψη ασφαλείας και την αναβάθμιση της ευπάθειας δικαιωμάτων με τη διαπραγμάτευση ελέγχου ταυτότητας, χρησιμοποιώντας αδύναμη διαπραγμάτευση RC4-HMAC.
Αυτή η ενημέρωση θα ορίσει τον AES ως τον προεπιλεγμένο τύπο κρυπτογράφησης για τα κλειδιά περιόδου λειτουργίας σε λογαριασμούς που δεν έχουν ήδη επισημανθεί με έναν προεπιλεγμένο τύπο κρυπτογράφησης.
Για να προστατεύσετε το περιβάλλον σας, εγκαταστήστε ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 8 Νοεμβρίου 2022 σε όλες τις συσκευές, συμπεριλαμβανομένων των ελεγκτών τομέα. Ανατρέξτε στο θέμα Αλλαγή 1.
Για να μάθετε περισσότερα σχετικά με αυτές τις ευπάθειες, ανατρέξτε στο θέμα CVE-2022-37966.
Εντοπισμός ρητής ρύθμισης τύπων κρυπτογράφησης κλειδιών περιόδου λειτουργίας
Ενδέχεται να έχετε ορίσει ρητά τύπους κρυπτογράφησης στους λογαριασμούς χρηστών σας που είναι ευάλωτοι στο CVE-2022-37966. Αναζητήστε λογαριασμούς όπου το DES / RC4 είναι ρητά ενεργοποιημένο, αλλά όχι AES χρησιμοποιώντας το ακόλουθο ερώτημα της υπηρεσίας καταλόγου Active Directory:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Ρυθμίσεις κλειδιού μητρώου
Μετά την εγκατάσταση των ενημερώσεων των Windows που έχουν χρονολογηθεί στις ή μετά τις 8 Νοεμβρίου 2022, είναι διαθέσιμο το ακόλουθο κλειδί μητρώου για το πρωτόκολλο Kerberos:
DefaultDomainSupportedEncTypes
|
Κλειδί μητρώου |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
|
Τιμή |
DefaultDomainSupportedEncTypes |
|
Τύπος δεδομένων |
REG_DWORD |
|
Τιμή δεδομένων |
0x27 (Προεπιλογή) |
|
Απαιτείται επανεκκίνηση; |
Όχι |
Σημείωση Εάν πρέπει να αλλάξετε τον προεπιλεγμένο υποστηριζόμενο τύπο κρυπτογράφησης για ένα χρήστη ή υπολογιστή της υπηρεσίας καταλόγου Active Directory, προσθέστε με μη αυτόματο τρόπο και ρυθμίστε τις παραμέτρους του κλειδιού μητρώου για να ορίσετε τον νέο υποστηριζόμενο τύπο κρυπτογράφησης. Αυτή η ενημέρωση δεν προσθέτει αυτόματα το κλειδί μητρώου.
Οι ελεγκτές τομέα των Windows χρησιμοποιούν αυτήν την τιμή για να προσδιορίσουν τους υποστηριζόμενους τύπους κρυπτογράφησης σε λογαριασμούς στην υπηρεσία καταλόγου Active Directory των οποίων η τιμή msds-SupportedEncryptionType είναι κενή ή δεν έχει οριστεί. Ένας υπολογιστής που εκτελεί μια υποστηριζόμενη έκδοση του λειτουργικού συστήματος των Windows ορίζει αυτόματα τους τύπους Msds-SupportedEncryptionTypes για τον συγκεκριμένο λογαριασμό υπολογιστή στην υπηρεσία καταλόγου Active Directory. Αυτό βασίζεται στη ρυθμισμένη τιμή των τύπων κρυπτογράφησης που επιτρέπεται να χρησιμοποιεί το πρωτόκολλο Kerberos. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ασφάλεια δικτύου: Ρύθμιση παραμέτρων τύπων κρυπτογράφησης που επιτρέπονται για το Kerberos.
Στους λογαριασμούς χρηστών, στους λογαριασμούς διαχειριζόμενης υπηρεσίας ομάδας και σε άλλους λογαριασμούς στην υπηρεσία καταλόγου Active Directory δεν έχει οριστεί αυτόματα η τιμή msds-SupportedEncryptionTypes .
Για να βρείτε υποστηριζόμενους τύπους κρυπτογράφησης που μπορείτε να ορίσετε με μη αυτόματο τρόπο, ανατρέξτε στο θέμα Υποστηριζόμενες σημαίες Bit τύπων κρυπτογράφησης. Για περισσότερες πληροφορίες, δείτε τι πρέπει να κάνετε πρώτα για να προετοιμάσετε το περιβάλλον και να αποτρέψετε προβλήματα ελέγχου ταυτότητας Kerberos.
Η προεπιλεγμένη τιμή 0x27 (DES, RC4, Κλειδιά περιόδου λειτουργίας AES) επιλέχθηκε ως η ελάχιστη αλλαγή που είναι απαραίτητη για αυτήν την ενημέρωση ασφαλείας. Συνιστούμε στους πελάτες να ορίσουν την τιμή για 0x3C για αυξημένη ασφάλεια, καθώς αυτή η τιμή θα επιτρέπει τόσο εισιτήρια με κρυπτογράφηση AES όσο και κλειδιά περιόδου λειτουργίας AES. Εάν οι πελάτες έχουν ακολουθήσει τις οδηγίες μας για τη μετακίνηση σε ένα περιβάλλον μόνο AES όπου το RC4 δεν χρησιμοποιείται για το πρωτόκολλο Kerberos, συνιστούμε στους πελάτες να ορίζουν την τιμή σε 0x38. Ανατρέξτε στο θέμα Αλλαγή 1.
Συμβάντα των Windows που σχετίζονται με το CVE-2022-37966
Το Κέντρο διανομής κλειδιών Kerberos δεν διαθέτει ισχυρά κλειδιά για λογαριασμό
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Σφάλμα |
|
Προέλευση συμβάντος |
Kdcsvc |
|
Αναγνωριστικό συμβάντος |
42 |
|
Κείμενο συμβάντος |
Το Κέντρο διανομής κλειδιών Kerberos δεν διαθέτει ισχυρά κλειδιά για λογαριασμό: το όνομα λογαριασμού. Πρέπει να ενημερώσετε τον κωδικό πρόσβασης αυτού του λογαριασμού για να αποτρέψετε τη χρήση μη ασφαλούς κρυπτογράφησης. Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2210019 για να μάθετε περισσότερα. |
Αν βρείτε αυτό το σφάλμα, είναι πιθανό να πρέπει να επαναφέρετε τον κωδικό πρόσβασης krbtgt πριν να ρυθμίσετε το KrbtgtFullPacSingature = 3 ή να εγκαταστήσετε τα Windows Ενημερώσεις που κυκλοφόρησαν στις ή μετά τις 11 Ιουλίου 2023. Η ενημέρωση που ενεργοποιεί μέσω προγραμματισμού τη λειτουργία επιβολής για το CVE-2022-37967 τεκμηριώνεται στο ακόλουθο άρθρο της Γνωσιακής βάσης της Microsoft:
Για περισσότερες πληροφορίες σχετικά με το πώς να το κάνετε αυτό, ανατρέξτε στο θέμα New-KrbtgtKeys.ps1 στην τοποθεσία web του GitHub.
Συνήθεις ερωτήσεις (Συνήθεις ερωτήσεις) και γνωστά θέματα
Οι λογαριασμοί που έχουν σημαία για ρητή χρήση RC4 είναι ευάλωτοι. Επιπλέον, τα περιβάλλοντα που δεν διαθέτουν κλειδιά περιόδου λειτουργίας AES εντός του λογαριασμού krbgt ενδέχεται να είναι ευάλωτα. Για να μετριάσετε αυτό το πρόβλημα, ακολουθήστε τις οδηγίες σχετικά με τον τρόπο με τον οποίο μπορείτε να προσδιορίσετε ευπάθειες και χρησιμοποιήστε την ενότητα ρύθμισης κλειδιού μητρώου για να ενημερώσετε τις προεπιλογές κρυπτογράφησης που έχουν οριστεί ρητά.
Θα πρέπει να επαληθεύσετε ότι όλες οι συσκευές σας έχουν έναν κοινό τύπο κρυπτογράφησης Kerberos. Για περισσότερες πληροφορίες σχετικά με τους τύπους κρυπτογράφησης Kerberos, ανατρέξτε στο θέμα Αποκρυπτογράφηση της επιλογής υποστηριζόμενων τύπων κρυπτογράφησης Kerberos.
Τα περιβάλλοντα χωρίς έναν κοινό τύπο κρυπτογράφησης Kerberos μπορεί να λειτουργούσαν προηγουμένως λόγω της αυτόματης προσθήκης RC4 ή μέσω της προσθήκης του AES, εάν το RC4 απενεργοποιήθηκε μέσω πολιτικής ομάδας από ελεγκτές τομέα. Αυτή η συμπεριφορά έχει αλλάξει με τις ενημερώσεις που κυκλοφόρησαν στις ή μετά τις 8 Νοεμβρίου 2022 και τώρα θα ακολουθεί αυστηρά τις ρυθμίσεις που έχουν οριστεί στα κλειδιά μητρώου, msds-SupportedEncryptionTypes και DefaultDomainSupportedEncTypes.
Εάν δεν έχει οριστεί ο λογαριασμός msds-SupportedEncryptionTypes ή έχει οριστεί σε 0, οι ελεγκτές τομέα αποκτούν μια προεπιλεγμένη τιμή 0x27 (39) ή ο ελεγκτής τομέα θα χρησιμοποιήσει τη ρύθμιση στο κλειδί μητρώου DefaultDomainSupportedEncTypes.
Εάν ο λογαριασμός έχει οριστεί msds-SupportedEncryptionTypes , αυτή η ρύθμιση ενδέχεται να τηρηθεί και ενδέχεται να εκθέσει μια αποτυχία να έχει ρυθμίσει τις παραμέτρους ενός κοινού τύπου κρυπτογράφησης Kerberos που καλύπτεται από την προηγούμενη συμπεριφορά αυτόματης προσθήκης RC4 ή AES, η οποία δεν είναι πλέον η συμπεριφορά μετά την εγκατάσταση των ενημερώσεων που κυκλοφόρησαν στις ή μετά τις 8 Νοεμβρίου 2022.
Για πληροφορίες σχετικά με τον τρόπο επαλήθευσης ότι έχετε έναν κοινό τύπο κρυπτογράφησης Kerberos, ανατρέξτε στην ερώτηση Πώς μπορώ να επαληθεύσω ότι όλες οι συσκευές μου έχουν έναν κοινό τύπο κρυπτογράφησης Kerberos;
Ανατρέξτε στην προηγούμενη ερώτηση για περισσότερες πληροφορίες σχετικά με τους λόγους για τους οποίους οι συσκευές σας ενδέχεται να μην έχουν έναν κοινό τύπο κρυπτογράφησης Kerberos μετά την εγκατάσταση ενημερώσεων που κυκλοφόρησαν στις ή μετά τις 8 Νοεμβρίου 2022.
Εάν έχετε ήδη εγκαταστήσει ενημερώσεις που κυκλοφόρησαν στις ή μετά τις 8 Νοεμβρίου 2022, μπορείτε να εντοπίσετε συσκευές που δεν διαθέτουν έναν κοινό τύπο κρυπτογράφησης Kerberos, αναζητώντας το αρχείο καταγραφής συμβάντων για το Συμβάν Microsoft-Windows-Kerberos-Key-Distribution-Center 27, το οποίο προσδιορίζει τους ασυνεχείς τύπους κρυπτογράφησης μεταξύ των προγραμμάτων-πελατών Kerberos και των απομακρυσμένων διακομιστών ή υπηρεσιών.
Η εγκατάσταση των ενημερώσεων που κυκλοφόρησαν στις ή μετά τις 8 Νοεμβρίου 2022 σε υπολογιστές-πελάτες ή διακομιστές ρόλων χωρίς ελεγκτή τομέα δεν θα πρέπει να επηρεάσει τον έλεγχο ταυτότητας Kerberos στο περιβάλλον σας.
Για να μετριάσετε αυτό το γνωστό πρόβλημα, ανοίξτε ένα παράθυρο γραμμής εντολών ως διαχειριστής και χρησιμοποιήστε προσωρινά την ακόλουθη εντολή για να ορίσετε το κλειδί μητρώου KrbtgtFullPacSignature σε 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Σημείωση Μόλις επιλυθεί αυτό το γνωστό πρόβλημα, θα πρέπει να ρυθμίσετε το KrbtgtFullPacSignature σε υψηλότερη ρύθμιση, ανάλογα με το τι θα επιτρέψει το περιβάλλον σας. Συνιστάται να ενεργοποιήσετε τη λειτουργία επιβολής μόλις το περιβάλλον σας είναι έτοιμο.
Επόμενα βήματαΚαταβάλλουμε προσπάθειες για την εξεύρεση μιας λύσης και θα παράσχουμε μια ενημέρωση σε μια προσεχή έκδοση.
Μετά την εγκατάσταση των ενημερώσεων που κυκλοφόρησαν στις ή μετά τις 8 Νοεμβρίου 2022 στους ελεγκτές τομέα σας, όλες οι συσκευές πρέπει να υποστηρίζουν υπογραφή δελτίου AES, όπως απαιτείται, για να είναι συμβατές με τη σκλήρυνση ασφαλείας που απαιτείται για το CVE-2022-37967.
Επόμενα βήματα Αν χρησιμοποιείτε ήδη το πιο ενημερωμένο λογισμικό και υλικολογισμικό για τις συσκευές σας που δεν είναι Windows και έχετε επαληθεύσει ότι υπάρχει ένας κοινός τύπος κρυπτογράφησης διαθέσιμος μεταξύ των ελεγκτών τομέα των Windows και των συσκευών που δεν είναι windows, θα πρέπει να επικοινωνήσετε με τον κατασκευαστή της συσκευής σας (OEM) για βοήθεια ή να αντικαταστήσετε τις συσκευές με αυτές που είναι συμβατές.
ΣΗΜΑΝΤΙΚΌ Δεν συνιστάται η χρήση λύσης για να επιτρέψετε τον έλεγχο ταυτότητας σε συσκευές που δεν είναι συμβατές, καθώς αυτό μπορεί να κάνει το περιβάλλον σας ευάλωτο.
Οι μη υποστηριζόμενες εκδόσεις των Windows περιλαμβάνουν τα Windows XP, Windows Server 2003, Windows Server 2008 SP2 και Windows Server 2008 R2 SP1 δεν είναι προσβάσιμες από ενημερωμένες συσκευές Windows, εκτός αν έχετε άδεια χρήσης ESU. Αν έχετε μια άδεια χρήσης ESU, θα πρέπει να εγκαταστήσετε τις ενημερώσεις που κυκλοφόρησαν στις ή μετά τις 8 Νοεμβρίου 2022 και να επαληθεύσετε ότι η ρύθμιση παραμέτρων σας έχει έναν κοινό τύπο κρυπτογράφησης διαθέσιμο μεταξύ όλων των συσκευών.
Επόμενα βήματα Εγκαταστήστε ενημερώσεις, αν είναι διαθέσιμες για την έκδοση των Windows που διαθέτετε και έχετε την αντίστοιχη άδεια χρήσης ESU. Αν δεν υπάρχουν διαθέσιμες ενημερώσεις, θα πρέπει να κάνετε αναβάθμιση σε μια υποστηριζόμενη έκδοση των Windows ή να μετακινήσετε οποιαδήποτε εφαρμογή ή υπηρεσία σε μια συμβατή συσκευή.
ΣΗΜΑΝΤΙΚΌ Δεν συνιστάται η χρήση λύσης για να επιτρέψετε τον έλεγχο ταυτότητας σε συσκευές που δεν είναι συμβατές, καθώς αυτό μπορεί να κάνει το περιβάλλον σας ευάλωτο.
Αυτό το γνωστό πρόβλημα επιλύθηκε σε ενημερώσεις εκτός ζώνης που κυκλοφόρησαν στις 17 Νοεμβρίου 2022 και στις 18 Νοεμβρίου 2022 για εγκατάσταση σε όλους τους ελεγκτές τομέα στο περιβάλλον σας. Δεν χρειάζεται να εγκαταστήσετε καμία ενημέρωση ή να κάνετε αλλαγές σε άλλους διακομιστές ή συσκευές-πελάτες στο περιβάλλον σας για να επιλύσετε αυτό το πρόβλημα. Εάν χρησιμοποιήσατε λύση ή μετριασμούς για αυτό το πρόβλημα, δεν είναι πλέον απαραίτητα και σας συνιστούμε να τα καταργήσετε.
Για να λάβετε το μεμονωμένο πακέτο για αυτές τις ενημερώσεις εκτός ζώνης, αναζητήστε τον αριθμό KB στον Κατάλογο του Microsoft Update. Μπορείτε να εισαγάγετε με μη αυτόματο τρόπο αυτές τις ενημερώσεις στο Υπηρεσίες Windows Server Update Services (WSUS) και το Microsoft Endpoint Configuration Manager. Για οδηγίες WSUS, ανατρέξτε στο θέμα WSUS και τοποθεσία καταλόγου. Για οδηγίες σχετικά με το Configuration Manger, ανατρέξτε στο θέμα Εισαγωγή ενημερώσεων από τον Κατάλογο του Microsoft Update.
Σημείωση Οι ακόλουθες ενημερώσεις δεν είναι διαθέσιμες από Windows Update και δεν θα εγκατασταθούν αυτόματα.
Αθροιστικές ενημερώσεις:
Σημείωση Δεν χρειάζεται να εφαρμόσετε καμία προηγούμενη ενημέρωση πριν από την εγκατάσταση αυτών των αθροιστικών ενημερώσεων. Αν έχετε ήδη εγκαταστήσει ενημερώσεις που κυκλοφόρησαν στις 8 Νοεμβρίου 2022, δεν χρειάζεται να καταργήσετε την εγκατάσταση των ενημερώσεων που επηρεάζονται πριν από την εγκατάσταση τυχόν μεταγενέστερων ενημερώσεων, συμπεριλαμβανομένων των ενημερώσεων που αναφέρονται παραπάνω.
Μεμονωμένες Ενημερώσεις:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (κυκλοφόρησε στις 18 Νοεμβρίου 2022)
-
Windows Server 2008 SP2: KB5021657
Σημειώσεις
-
Αν χρησιμοποιείτε ενημερώσεις μόνο για την ασφάλεια για αυτές τις εκδόσεις του Windows Server, πρέπει να εγκαταστήσετε αυτές τις μεμονωμένες ενημερώσεις μόνο για τον Νοέμβριο του 2022. Οι ενημερώσεις μόνο για την ασφάλεια δεν είναι αθροιστικές και θα πρέπει επίσης να εγκαταστήσετε όλες τις προηγούμενες ενημερώσεις αποκλειστικά για την ασφάλεια, ώστε να είναι πλήρως ενημερωμένες. Οι μηνιαίες ενημερώσεις συνάθροισης είναι αθροιστικές και περιλαμβάνουν ενημερώσεις ασφαλείας και όλες τις ενημερώσεις ποιότητας.
-
Αν χρησιμοποιείτε ενημερώσεις μηνιαίας συνάθροισης, θα πρέπει να εγκαταστήσετε και τις δύο μεμονωμένες ενημερώσεις που αναφέρονται παραπάνω για να επιλύσετε αυτό το πρόβλημα και να εγκαταστήσετε τις μηνιαίες συναθροίσεις που κυκλοφόρησαν στις 8 Νοεμβρίου 2022, για να λάβετε τις ενημερώσεις ποιότητας για τον Νοέμβριο του 2022. Αν έχετε ήδη εγκαταστήσει ενημερώσεις που κυκλοφόρησαν στις 8 Νοεμβρίου 2022, δεν χρειάζεται να καταργήσετε την εγκατάσταση των ενημερώσεων που επηρεάζονται πριν από την εγκατάσταση τυχόν μεταγενέστερων ενημερώσεων, συμπεριλαμβανομένων των ενημερώσεων που αναφέρονται παραπάνω.
Εάν έχετε επαληθεύσει τη ρύθμιση παραμέτρων του περιβάλλοντός σας και εξακολουθείτε να αντιμετωπίζετε προβλήματα με οποιαδήποτε υλοποίηση του Kerberos εκτός Microsoft, θα χρειαστείτε ενημερώσεις ή υποστήριξη από τον προγραμματιστή ή τον κατασκευαστή της εφαρμογής ή της συσκευής.
Αυτό το γνωστό πρόβλημα μπορεί να μετριαστεί, κάνοντας ένα από τα εξής:
-
Ορίστε το msds-SupportedEncryptionTypes με επίπεδο bit ή ορίστε το στην τρέχουσα προεπιλεγμένη 0x27 για να διατηρήσετε την τρέχουσα τιμή του. Για παράδειγμα:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Ορίστε την τιμή msds-SupportEncryptionTypes σε 0 , ώστε οι ελεγκτές τομέα να χρησιμοποιούν την προεπιλεγμένη τιμή του 0x27.
Επόμενα βήματαΚαταβάλλουμε προσπάθειες για την εξεύρεση μιας λύσης και θα παράσχουμε μια ενημέρωση σε μια προσεχή έκδοση.
Γλωσσάριο
Το Advanced Encryption Standard (AES) είναι ένα κρυπτογράφηση μπλοκ που υπερισχύει του Προτύπου κρυπτογράφησης δεδομένων (DES). Το AES μπορεί να χρησιμοποιηθεί για την προστασία ηλεκτρονικών δεδομένων. Ο αλγόριθμος AES μπορεί να χρησιμοποιηθεί για την κρυπτογράφηση (κρυπτογράφηση) και αποκρυπτογράφηση (αποκρυπτογράφηση) πληροφοριών. Η κρυπτογράφηση μετατρέπει τα δεδομένα σε μια ακατανόητη μορφή που ονομάζεται κρυπτογραφημένο κείμενο. η αποκρυπτογράφηση του κρυπτογραφημένου κειμένου μετατρέπει ξανά τα δεδομένα στην αρχική τους μορφή, που ονομάζεται απλό κείμενο. Το AES χρησιμοποιείται στην κρυπτογράφηση συμμετρικού κλειδιού, που σημαίνει ότι χρησιμοποιείται το ίδιο κλειδί για τις λειτουργίες κρυπτογράφησης και αποκρυπτογράφησης. Είναι επίσης ένα κρυπτογράφηση μπλοκ, που σημαίνει ότι λειτουργεί σε μπλοκ σταθερού μεγέθους απλού κειμένου και κρυπτογράφησης και απαιτεί το μέγεθος του απλού κειμένου καθώς και το κρυπτογραφημένο κείμενο να είναι ένα ακριβές πολλαπλάσιο αυτού του μεγέθους μπλοκ. Το AES είναι επίσης γνωστό ως συμμετρικός αλγόριθμος κρυπτογράφησης Rijndael [FIPS197].
Το Kerberos είναι ένα πρωτόκολλο ελέγχου ταυτότητας δικτύου υπολογιστών που λειτουργεί με βάση "δελτία" για να επιτρέψει σε κόμβους που επικοινωνούν μέσω δικτύου να αποδείξουν την ταυτότητά τους μεταξύ τους με ασφαλή τρόπο.
Η υπηρεσία Kerberos που υλοποιεί τις υπηρεσίες ελέγχου ταυτότητας και εκχώρησης εισιτηρίων που καθορίζονται στο πρωτόκολλο Kerberos. Η υπηρεσία εκτελείται σε υπολογιστές που επιλέγονται από το διαχειριστή του τομέα ή του τομέα. δεν υπάρχει σε κάθε υπολογιστή του δικτύου. Πρέπει να έχει πρόσβαση σε μια βάση δεδομένων λογαριασμού για το βασίλειο που εξυπηρετεί. Οι KDC ενσωματώνονται στο ρόλο του ελεγκτή τομέα. Είναι μια υπηρεσία δικτύου που παρέχει εισιτήρια στους πελάτες για χρήση στον έλεγχο ταυτότητας σε υπηρεσίες.
Το RC4-HMAC (RC4) είναι ένας μεταβλητός αλγόριθμος συμμετρικής κρυπτογράφησης μήκους κλειδιού. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα [SCHNEIER] 17.1.
Ένα σχετικά βραχύβιο συμμετρικό κλειδί (ένα κρυπτογραφικό κλειδί που διαπραγματεύεται ο υπολογιστής-πελάτης και ο διακομιστής με βάση ένα κοινόχρηστο μυστικό). Η διάρκεια ζωής των πλήκτρων περιόδου λειτουργίας συνδέεται με την περίοδο λειτουργίας με την οποία σχετίζεται. Ένα πλήκτρο περιόδου λειτουργίας πρέπει να είναι αρκετά ισχυρό για να αντέξει την κρυπτοπτανάλυση για τη διάρκεια της συνεδρίας.
Ένας ειδικός τύπος εισιτηρίου που μπορεί να χρησιμοποιηθεί για την απόκτηση άλλων εισιτηρίων. Το δελτίο χορήγησης δελτίου (TGT) λαμβάνεται μετά τον αρχικό έλεγχο ταυτότητας στην ανταλλαγή της υπηρεσίας ελέγχου ταυτότητας (AS). στη συνέχεια, οι χρήστες δεν χρειάζεται να παρουσιάσουν τα διαπιστευτήριά τους, αλλά μπορούν να χρησιμοποιήσουν το TGT για να αποκτήσουν επόμενα εισιτήρια.
