เปลี่ยนล็อก
|
เปลี่ยนเมื่อวันที่ 19 มิถุนายน 2023:
|
ในบทความนี้
บทสรุป
การอัปเดตของ Windows ที่เผยแพร่ในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้นจะจัดการการเลี่ยงผ่านการรักษาความปลอดภัยและยกระดับช่องโหว่ของสิทธิ์ด้วยการตรวจสอบสิทธิ์โดยใช้การเจรจา RC4-HMAC ที่อ่อนแอ
การอัปเดตนี้จะตั้งค่า AES เป็นชนิดการเข้ารหัสลับเริ่มต้นสําหรับคีย์เซสชันบนบัญชีที่ไม่ได้ทําเครื่องหมายด้วยชนิดการเข้ารหัสลับเริ่มต้นอยู่แล้ว
เพื่อช่วยรักษาความปลอดภัยให้กับสภาพแวดล้อมของคุณ ให้ติดตั้งการอัปเดต Windows ที่เผยแพร่ในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้นไปยังอุปกรณ์ทั้งหมด รวมถึงตัวควบคุมโดเมน ดู เปลี่ยน 1
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่เหล่านี้ โปรดดู CVE-2022-37966
การค้นหาการตั้งค่าชนิดการเข้ารหัสลับคีย์เซสชันอย่างชัดเจน
คุณอาจมีชนิดการเข้ารหัสลับที่กําหนดไว้อย่างชัดเจนในบัญชีผู้ใช้ของคุณที่มีความเสี่ยงต่อ CVE-2022-37966 ค้นหาบัญชีที่ DES / RC4 เปิดใช้งานอย่างชัดเจน แต่ไม่ใช่ AES โดยใช้คิวรี Active Directory ต่อไปนี้:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
การตั้งค่ารีจิสทรีคีย์
หลังจากติดตั้งการอัปเดต Windows ที่ลงวันที่หรือหลังจากวันที่ 8 พฤศจิกายน 2022 คีย์รีจิสทรีต่อไปนี้จะพร้อมใช้งานสําหรับโพรโทคอล Kerberos:
DefaultDomainSupportedEncTypes
|
รีจิสทรีคีย์ |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
|
ค่า |
DefaultDomainSupportedEncTypes |
|
ชนิดข้อมูล |
Reg_dword |
|
ค่าข้อมูล |
0x27 (ค่าเริ่มต้น) |
|
จําเป็นต้องเริ่มระบบของคอมพิวเตอร์ใหม่หรือไม่ |
ไม่ใช่ |
หมายเหตุ ถ้าคุณต้องเปลี่ยนค่าเริ่มต้นชนิดการเข้ารหัสลับที่สนับสนุนสําหรับผู้ใช้หรือคอมพิวเตอร์ Active Directory ให้เพิ่มและกําหนดค่ารีจิสทรีคีย์ด้วยตนเองเพื่อตั้งค่าชนิดการเข้ารหัสลับใหม่ที่สนับสนุน การอัปเดตนี้ไม่ได้เพิ่มรีจิสทรีคีย์โดยอัตโนมัติ
ตัวควบคุมโดเมน Windows ใช้ค่านี้เพื่อกําหนดชนิดการเข้ารหัสลับที่ได้รับการสนับสนุนบนบัญชีผู้ใช้ใน Active Directory ที่มีค่า msds-SupportedEncryptionType ว่างเปล่าหรือไม่ตั้งค่า คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows รุ่นที่ได้รับการสนับสนุนจะตั้งค่า msds-SupportedEncryptionTypes สําหรับบัญชีเครื่องนั้นใน Active Directory โดยอัตโนมัติ ซึ่งยึดตามค่าที่กําหนดค่าของชนิดการเข้ารหัสลับที่อนุญาตให้ใช้โพรโทคอล Kerberos ได้ สําหรับข้อมูลเพิ่มเติม ให้ดู ความปลอดภัยของเครือข่าย: กําหนดค่าชนิดการเข้ารหัสลับที่อนุญาตสําหรับ Kerberos
บัญชีผู้ใช้ บัญชีผู้ใช้ บัญชีผู้ใช้บริการที่มีการจัดการแบบกลุ่ม และบัญชีผู้ใช้อื่นๆ ใน Active Directory ไม่ได้ตั้งค่า msds-SupportedEncryptionTypes โดยอัตโนมัติ
เมื่อต้องการค้นหาชนิดการเข้ารหัสลับที่สนับสนุนคุณสามารถตั้งค่าด้วยตนเอง โปรดดูที่ ค่าสถานะบิตชนิดการเข้ารหัสลับที่สนับสนุน สําหรับข้อมูลเพิ่มเติม ให้ดูสิ่งที่คุณควรทําก่อนเพื่อช่วยเตรียมสภาพแวดล้อมและป้องกันปัญหาการรับรองความถูกต้อง Kerberos
ค่าเริ่มต้น 0x27 (DES, RC4, คีย์เซสชัน AES) ถูกเลือกเป็นการเปลี่ยนแปลงขั้นต่ําที่จําเป็นสําหรับการอัปเดตความปลอดภัยนี้ เราขอแนะนําให้ลูกค้าตั้งค่า เป็น 0x3C เพื่อเพิ่มความปลอดภัย เนื่องจากค่านี้จะอนุญาตสําหรับทั้งตั๋วที่เข้ารหัส AES และคีย์เซสชัน AES หากลูกค้าทําตามคําแนะนําของเราเพื่อย้ายไปยังสภาพแวดล้อม AES เท่านั้นที่ไม่ได้ใช้ RC4 สําหรับโพรโทคอล Kerberos เราขอแนะนําให้ลูกค้าตั้งค่าเป็น 0x38 ดู เปลี่ยน 1
เหตุการณ์ของ Windows ที่เกี่ยวข้องกับ CVE-2022-37966
ศูนย์การแจกจ่ายคีย์ Kerberos ไม่มีคีย์สําคัญสําหรับบัญชี
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
ข้อผิดพลาด |
|
แหล่งเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
42 |
|
ข้อความเหตุการณ์ |
ศูนย์การแจกจ่ายคีย์ Kerberos ไม่มีคีย์สําคัญสําหรับบัญชี: ชื่อบัญชี คุณต้องอัปเดตรหัสผ่านของบัญชีนี้เพื่อป้องกันการใช้การเข้ารหัสลับที่ไม่ปลอดภัย ดู https://go.microsoft.com/fwlink/?linkid=2210019 เพื่อเรียนรู้เพิ่มเติม |
หากคุณพบข้อผิดพลาดนี้ คุณอาจต้องรีเซ็ตรหัสผ่าน krbtgt ของคุณก่อนที่จะตั้งค่า KrbtgtFullPacSingature = 3 หรือติดตั้ง Windows Updates วางจําหน่ายในวันที่ 11 กรกฎาคม 2023 หรือหลังจากนั้น การอัปเดตที่เปิดใช้งานโหมดการบังคับใช้สําหรับ CVE-2022-37967 โดยทางโปรแกรมมีการบันทึกไว้ในบทความต่อไปนี้ใน Microsoft Knowledge Base:
KB5020805: วิธีจัดการการเปลี่ยนแปลงโพรโทคอล Kerberos ที่เกี่ยวข้องกับ CVE-2022-37967
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีดําเนินการนี้ ให้ดูหัวข้อNew-KrbtgtKeys.ps1 บนเว็บไซต์ GitHub
คําถามที่ถามบ่อย (FAQ) และปัญหาที่ทราบ
บัญชีที่ถูกตั้งค่าสถานะสําหรับการใช้งาน RC4 อย่างชัดเจนมีความเสี่ยง นอกจากนี้ สภาพแวดล้อมที่ไม่มีคีย์เซสชัน AES ภายในบัญชีผู้ใช้ krbgt อาจมีความเสี่ยงได้ เพื่อลดปัญหานี้ ทําตามคําแนะนําเกี่ยวกับวิธีการระบุช่องโหว่และใช้ส่วน การตั้งค่ารีจิสทรีคีย์ เพื่ออัปเดตค่าเริ่มต้นการเข้ารหัสลับอย่างชัดเจน
คุณจะต้องตรวจสอบว่าอุปกรณ์ทั้งหมดของคุณมีชนิดการเข้ารหัสลับ Kerberos ทั่วไปหรือไม่ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับชนิดการเข้ารหัสลับ Kerberos ให้ดูที่ การถอดรหัสลับการเลือกชนิดการเข้ารหัสลับ Kerberos ที่สนับสนุน
สภาพแวดล้อมที่ไม่มีประเภทการเข้ารหัสลับ Kerberos ทั่วไปอาจทํางานได้เนื่องจากการเพิ่ม RC4 โดยอัตโนมัติหรือโดยการเพิ่ม AES ถ้า RC4 ถูกปิดใช้งานผ่านนโยบายกลุ่มโดยตัวควบคุมโดเมน ลักษณะการทํางานนี้มีการเปลี่ยนแปลงกับการอัปเดตที่เผยแพร่ในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้นและจะเป็นไปตามสิ่งที่ตั้งค่าไว้ในรีจิสทรีคีย์ , msds-SupportedEncryptionTypes และ DefaultDomainSupportedEncTypes อย่างเคร่งครัด
ถ้าบัญชีไม่ได้ตั้งค่า msds-SupportedEncryptionTypes หรือถูกตั้งค่าเป็น 0 ตัวควบคุมโดเมนจะถือว่าเป็นค่าเริ่มต้นของ 0x27 (39) หรือตัวควบคุมโดเมนจะใช้การตั้งค่าในรีจิสทรีคีย์ DefaultDomainSupportedEncTypes
ถ้าบัญชีมีชุด msds-SupportedEncryptionTypes การตั้งค่านี้จะได้รับการยอมรับและอาจทําให้ไม่สามารถกําหนดค่าชนิดการเข้ารหัสลับ Kerberos ทั่วไปที่มาสก์โดยลักษณะการทํางานก่อนหน้านี้ของการเพิ่ม RC4 หรือ AES โดยอัตโนมัติ ซึ่งจะไม่เป็นลักษณะการทํางานหลังจากการติดตั้งการอัปเดตที่เผยแพร่ในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้น
สําหรับข้อมูลเกี่ยวกับวิธีการตรวจสอบว่าคุณมีชนิดการเข้ารหัสลับ Kerberos ทั่วไปหรือไม่ ให้ดูคําถาม ฉันจะตรวจสอบว่าอุปกรณ์ทั้งหมดของฉันมีชนิดการเข้ารหัสลับ Kerberos ทั่วไปได้อย่างไร
ดู คําถามก่อนหน้านี้สําหรับข้อมูลเพิ่มเติมว่าทําไมอุปกรณ์ของคุณอาจไม่มีชนิดการเข้ารหัสลับ Kerberos ทั่วไปหลังจากติดตั้งการอัปเดตที่เผยแพร่ในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้น
หากคุณได้ติดตั้งการอัปเดตที่เผยแพร่แล้วในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้น คุณสามารถตรวจหาอุปกรณ์ที่ไม่มีชนิดการเข้ารหัสลับ Kerberos ทั่วไปได้ โดยการดูในบันทึกเหตุการณ์สําหรับเหตุการณ์ Microsoft-Windows-Kerberos-Key-Distribution-Center 27 ซึ่งระบุชนิดการเข้ารหัสที่ไม่สัมพันธ์กันระหว่างไคลเอ็นต์ Kerberos และเซิร์ฟเวอร์หรือบริการระยะไกล
การติดตั้งการอัปเดตที่เผยแพร่ในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้นในไคลเอ็นต์หรือเซิร์ฟเวอร์บทบาทที่ไม่ใช่ตัวควบคุมโดเมนไม่ควรส่งผลกระทบต่อการรับรองความถูกต้อง Kerberos ในสภาพแวดล้อมของคุณ
เมื่อต้องการลดปัญหาที่ทราบแล้วนี้ ให้เปิดหน้าต่างพร้อมท์คําสั่งในฐานะผู้ดูแลระบบ และใช้คําสั่งต่อไปนี้ชั่วคราวเพื่อตั้งค่ารีจิสทรีคีย์ KrbtgtFullPacSignature เป็น 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
หมายเหตุ เมื่อปัญหาที่ทราบได้รับการแก้ไขแล้ว คุณควรตั้งค่า KrbtgtFullPacSignature เป็นการตั้งค่าที่สูงกว่า โดยขึ้นอยู่กับสภาพแวดล้อมของคุณที่จะอนุญาต เราขอแนะนําให้เปิดใช้งานโหมดการบังคับใช้ทันทีที่สภาพแวดล้อมของคุณพร้อม
ขั้นตอนถัดไปเรากำลังหาวิธีแก้ไขปัญหา และจะนำเสนอการอัปเดตในรุ่นถัดไป
หลังจากติดตั้งการอัปเดตที่เผยแพร่ในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้นบนตัวควบคุมโดเมนของคุณ อุปกรณ์ทั้งหมดต้องสนับสนุนการเซ็นตั๋ว AES ตามที่จําเป็นเพื่อให้สอดคล้องกับการแข็งตัวด้านความปลอดภัยที่จําเป็นสําหรับ CVE-2022-37967
ขั้นตอนถัดไป หากคุณกําลังใช้งานซอฟต์แวร์และเฟิร์มแวร์รุ่นล่าสุดสําหรับอุปกรณ์ที่ไม่ใช่ Windows อยู่แล้ว และได้ตรวจสอบว่ามีชนิดการเข้ารหัสลับทั่วไปที่พร้อมใช้งานระหว่างตัวควบคุมโดเมน Windows และอุปกรณ์ที่ไม่ใช่ Windows ของคุณ คุณจะต้องติดต่อผู้ผลิตอุปกรณ์ของคุณ (OEM) เพื่อขอความช่วยเหลือหรือเปลี่ยนอุปกรณ์ด้วยอุปกรณ์ที่เข้ากันได้
สำคัญ เราไม่แนะนําให้ใช้วิธีแก้ไขปัญหาชั่วคราวใดๆ เพื่ออนุญาตให้อุปกรณ์ที่ไม่ตรงตามมาตรฐานรับรองความถูกต้อง เนื่องจากอาจทําให้สภาพแวดล้อมของคุณมีความเสี่ยงได้
Windows เวอร์ชันที่ไม่ได้รับการสนับสนุนประกอบด้วย Windows XP, Windows Server 2003, Windows Server 2008 SP2 และ Windows Server 2008 R2 SP1 ไม่สามารถเข้าถึงได้โดยอุปกรณ์ Windows ที่อัปเดตแล้ว เว้นแต่คุณจะมีสิทธิการใช้งาน ESU หากคุณมีสิทธิการใช้งาน ESU คุณจะต้องติดตั้งการอัปเดตที่เผยแพร่ในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้น และตรวจสอบว่าการกําหนดค่าของคุณมีชนิดการเข้ารหัสลับทั่วไปที่พร้อมใช้งานระหว่างอุปกรณ์ทั้งหมด
ขั้นตอนถัดไป ติดตั้งการอัปเดต หากมีพร้อมใช้งานสําหรับ Windows เวอร์ชันของคุณ และคุณมีสิทธิการใช้งาน ESU ที่เกี่ยวข้อง หากการอัปเดตไม่พร้อมใช้งาน คุณจะต้องอัปเกรดเป็น Windows รุ่นที่ได้รับการสนับสนุน หรือย้ายแอปพลิเคชันหรือบริการใดๆ ไปยังอุปกรณ์ที่เข้ากันได้
สำคัญ เราไม่แนะนําให้ใช้วิธีแก้ไขปัญหาชั่วคราวใดๆ เพื่ออนุญาตให้อุปกรณ์ที่ไม่ตรงตามมาตรฐานรับรองความถูกต้อง เนื่องจากอาจทําให้สภาพแวดล้อมของคุณมีความเสี่ยงได้
ปัญหานี้ได้รับการแก้ไขแล้วในการอัปเดตที่ไม่อยู่ในแบนด์ที่เผยแพร่เมื่อวันที่ 17 พฤศจิกายน 2022 และ 18 พฤศจิกายน 2022 สําหรับการติดตั้งบนตัวควบคุมโดเมนทั้งหมดในสภาพแวดล้อมของคุณ คุณไม่จําเป็นต้องติดตั้งการอัปเดตใดๆ หรือทําการเปลี่ยนแปลงใดๆ กับเซิร์ฟเวอร์หรืออุปกรณ์ไคลเอ็นต์อื่นๆ ในระบบของคุณเพื่อแก้ไขปัญหานี้ ถ้าคุณใช้วิธีแก้ไขปัญหาหรือการแก้ไขสําหรับปัญหานี้ จะไม่จําเป็นอีกต่อไป และเราขอแนะนําให้คุณลบออก
เมื่อต้องการขอรับแพคเกจสแตนด์อโลนสําหรับการอัปเดตที่ไม่อยู่ในแบนด์เหล่านี้ ให้ค้นหาหมายเลข KB ใน Microsoft Update Catalog คุณสามารถนําเข้าการอัปเดตเหล่านี้ด้วยตนเองลงใน Windows Server Update Services (WSUS) และ Microsoft Endpoint Configuration Manager สําหรับคําแนะนําของ WSUS ให้ดู WSUS และไซต์แค็ตตาล็อก สําหรับคําแนะนํา Configuration Manger ให้ดู นําเข้าการอัปเดตจาก Microsoft Update Catalog
หมายเหตุ การอัปเดตต่อไปนี้ไม่สามารถใช้งานได้จาก Windows Update และจะไม่ติดตั้งโดยอัตโนมัติ
การอัปเดตสะสม:
หมายเหตุ คุณไม่จําเป็นต้องใช้การอัปเดตก่อนหน้าใดๆ ก่อนที่จะติดตั้งการอัปเดตแบบสะสมเหล่านี้ หากคุณได้ติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 8 พฤศจิกายน 2022 แล้ว คุณไม่จําเป็นต้องถอนการติดตั้งการอัปเดตที่ได้รับผลกระทบก่อนที่จะติดตั้งการอัปเดตในภายหลัง รวมถึงการอัปเดตที่ระบุไว้ข้างต้น
Updates แบบสแตนด์อโลน:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (เผยแพร่เมื่อ 18 พฤศจิกายน 2022)
-
Windows Server 2008 SP2: KB5021657
หมายเหตุ
-
หากคุณใช้การอัปเดตความปลอดภัยเท่านั้นสําหรับ Windows Server เวอร์ชันเหล่านี้ คุณจะต้องติดตั้งการอัปเดตแบบสแตนด์อโลนเหล่านี้สําหรับเดือนพฤศจิกายน 2022 เท่านั้น การอัปเดตความปลอดภัยเท่านั้นไม่ใช่การอัปเดตแบบสะสม และคุณจะต้องติดตั้งการอัปเดตความปลอดภัยเท่านั้นก่อนหน้านี้ทั้งหมดให้เป็นปัจจุบันทั้งหมด ชุดรวมอัปเดตรายเดือนเป็นแบบสะสมและมีการอัปเดตความปลอดภัยและการอัปเดตคุณภาพทั้งหมด
-
หากคุณใช้การอัปเดตชุดรวมอัปเดตรายเดือน คุณจะต้องติดตั้งทั้งการอัปเดตแบบสแตนด์อโลนที่แสดงอยู่ด้านบนเพื่อแก้ไขปัญหานี้ และติดตั้งชุดรวมอัปเดตรายเดือนที่เผยแพร่เมื่อ 8 พฤศจิกายน 2022 เพื่อรับการอัปเดตคุณภาพสําหรับเดือนพฤศจิกายน 2022 หากคุณได้ติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 8 พฤศจิกายน 2022 แล้ว คุณไม่จําเป็นต้องถอนการติดตั้งการอัปเดตที่ได้รับผลกระทบก่อนที่จะติดตั้งการอัปเดตในภายหลัง รวมถึงการอัปเดตที่ระบุไว้ข้างต้น
หากคุณได้ตรวจสอบการกําหนดค่าสภาพแวดล้อมของคุณแล้ว และคุณยังประสบปัญหาเกี่ยวกับการใช้งาน Kerberos ที่ไม่ใช่ของ Microsoft คุณจะต้องอัปเดตหรือการสนับสนุนจากนักพัฒนาหรือผู้ผลิตแอปหรืออุปกรณ์
ปัญหาที่ทราบแล้วนี้สามารถบรรเทาได้โดยทําอย่างใดอย่างหนึ่งต่อไปนี้:
-
ตั้งค่า msds-SupportedEncryptionTypes ด้วย bitwise หรือตั้งค่าเป็น 0x27 เริ่มต้นปัจจุบันเพื่อรักษาค่าปัจจุบัน ตัวอย่างเช่น:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
ตั้งค่า msds-SupportEncryptionTypes เป็น 0 เพื่อให้ตัวควบคุมโดเมนใช้ค่าเริ่มต้นของ 0x27
ขั้นตอนถัดไปเรากำลังหาวิธีแก้ไขปัญหา และจะนำเสนอการอัปเดตในรุ่นถัดไป
อภิธาน ศัพท์
Advanced Encryption Standard (AES) เป็นตัวเข้ารหัสบล็อกที่ใช้แทนที่ Data Encryption Standard (DES) AES สามารถใช้เพื่อปกป้องข้อมูลอิเล็กทรอนิกส์ได้ อัลกอริทึม AES สามารถใช้เพื่อเข้ารหัสข้อมูล (encipher) และถอดรหัสลับ (ถอดรหัส) การเข้ารหัสลับจะแปลงข้อมูลเป็นฟอร์มที่ไม่สามารถอ่านได้ที่เรียกว่า การเข้ารหัส การถอดรหัสลับข้อความแบบเข้ารหัสจะแปลงข้อมูลกลับเป็นรูปแบบดั้งเดิมที่เรียกว่าข้อความธรรมดา AES จะใช้ในการเข้ารหัสคีย์แบบสมมาตร ซึ่งหมายความว่าคีย์เดียวกันนี้ใช้สําหรับการดําเนินการเข้ารหัสลับและการถอดรหัสลับ นอกจากนี้ยังเป็นการเข้ารหัสบล็อก ซึ่งหมายความว่าจะทํางานบนบล็อกข้อความธรรมดาและข้อความลับที่มีขนาดคงที่ และต้องมีขนาดของข้อความธรรมดาและข้อความธรรมดาเช่นเดียวกับตัวระบุเป็นตัวคูณที่แน่นอนของขนาดบล็อกนี้ AES หรือที่เรียกว่าอัลกอริทึมการเข้ารหัสแบบสมมาตร Rijndael [FIPS197]
Kerberos เป็นโพรโทคอลการรับรองความถูกต้องของเครือข่ายคอมพิวเตอร์ที่ทํางานตาม "ตั๋ว" เพื่ออนุญาตให้โหนดสื่อสารผ่านเครือข่ายเพื่อพิสูจน์ข้อมูลประจําตัวของพวกเขาต่อกันอย่างปลอดภัย
บริการ Kerberos ที่ใช้บริการการรับรองความถูกต้องและการให้ตั๋วที่ระบุไว้ในโพรโทคอล Kerberos บริการจะทํางานบนคอมพิวเตอร์ที่เลือกโดยผู้ดูแลระบบของขอบเขตหรือโดเมน ไม่มีอยู่ในทุกเครื่องบนเครือข่าย จะต้องมีการเข้าถึงฐานข้อมูลบัญชีสําหรับขอบเขตที่ให้บริการ KDC ถูกรวมเข้ากับบทบาทตัวควบคุมโดเมน มันเป็นบริการเครือข่ายที่จัดหาตั๋วให้กับลูกค้าสําหรับใช้ในการรับรองความถูกต้องของบริการ
RC4-HMAC (RC4) เป็นอัลกอริทึมการเข้ารหัสลับแบบสมมาตรที่แปรผันได้ ดูข้อมูลเพิ่มเติมได้ที่ [SCHNEIER] ส่วน 17.1
คีย์แบบสมมาตรที่มีอายุสั้น (คีย์การเข้ารหัสลับที่มีการเจรจาโดยลูกค้าและเซิร์ฟเวอร์ตามความลับที่ใช้ร่วมกัน) อายุการใช้งานของคีย์เซสชันจะถูกผูกไว้กับเซสชันที่สัมพันธ์กับเซสชันนั้น คีย์เซสชันจะต้องมีความแข็งแรงพอที่จะทนต่อ cryptanalysis สําหรับอายุการใช้งานของเซสชัน
ตั๋วประเภทพิเศษที่สามารถใช้เพื่อรับตั๋วอื่น ๆ ได้รับ Ticket-granting Ticket (TGT) หลังจากการรับรองความถูกต้องเริ่มต้นในการแลกเปลี่ยนบริการการรับรองความถูกต้อง (AS) หลังจากนั้นผู้ใช้ไม่จําเป็นต้องแสดงข้อมูลประจําตัวของพวกเขา แต่สามารถใช้ TGT เพื่อรับตั๋วในภายหลัง
