Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren – nur Win7
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren – nur Win7 beschrieben.
Referenzen
Mit dieser Richtlinieneinstellung können Sie die Verschlüsselungstypen festlegen, die das Kerberos-Protokoll verwenden darf. Nur ausgewählte Verschlüsselungstypen sind zulässig. Diese Einstellung kann sich u. U. auf die Kompatibilität mit Clientcomputern oder Diensten und Anwendungen auswirken. Eine Mehrfachauswahl ist zulässig.
Weitere Informationen finden Sie im Artikel 977321 in der Microsoft Knowledge Base.
In der folgenden Tabelle werden die zulässigen Protokolltypen aufgeführt und erläutert.
| Verschlüsselungstyp | Beschreibung und Versionsunterstützung |
|---|---|
DES_CBC_CRC |
Datenverschlüsselungsstandard (DES) mit Blockchiffreverkettung (CBC) mithilfe der CRC-Prüffunktion (Cyclic Redundancy Check) Unterstützt in Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008. Die Betriebssysteme Windows 7 und Windows Server 2008 R2 unterstützen DES standardmäßig nicht. |
DES_CBC_MD5 |
Datenverschlüsselungsstandard mit Blockchiffreverkettung (CBC) mithilfe der Prüfsumme des Nachrichtenhash-Algorithmus 5 Unterstützt in Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008. Die Betriebssysteme Windows 7 und Windows Server 2008 R2 unterstützen DES standardmäßig nicht. |
RC4_HMAC_MD5 |
Rivest-Chiffre 4 mit Nachrichtenauthentifizierungscode mit Hash mithilfe der Prüfsumme des Nachrichtenhash-Algorithmus 5 Unterstützt in Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2. |
AES128_HMAC_SHA1 |
Advanced Encryption Standard (AES) (128-Bit-Blockchiffre) mit Nachrichtenauthentifizierungscode mit Hash mithilfe des Secure-Hash-Algorithmus 1 Nicht unterstützt in Windows 2000 Server, Windows XP oder Windows Server 2003. Unterstützt in Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2. |
AES256_HMAC_SHA1 |
Advanced Encryption Standard (AES) (256-Bit-Blockchiffre) mit Nachrichtenauthentifizierungscode mit Hash mithilfe des Secure-Hash-Algorithmus 1 Nicht unterstützt in Windows 2000 Server, Windows XP oder Windows Server 2003. Unterstützt in Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2. |
Zukünftige Verschlüsselungstypen |
Reserviert von Microsoft für zusätzliche Verschlüsselungstypen, die implementiert werden können. |
Mögliche Werte
Die folgenden Verschlüsselungstypen stehen zur Auswahl:
DES_CBC_CRC
DES_CBC_MD5
RC4_HMAC_MD5
AES128_HMAC_SHA1
AES256_HMAC_SHA1
Zukünftige Verschlüsselungstypen
Seit der Veröffentlichung von Windows 7 und Windows Server 2008 R2 ist dies von Microsoft für zusätzliche Verschlüsselungstypen reserviert, die möglicherweise implementiert werden.
Bewährte Methoden
Ermitteln Sie durch eine Auswertung Ihrer Umgebung, welche Verschlüsselungstypen unterstützt werden, und wählen Sie dann die aus, die dieser Auswertung entsprechen.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Keiner dieser Verschlüsselungstypen, die in dieser Richtlinie verfügbar sind, ist zulässig. |
Effektive Standardeinstellungen für Mitgliedsserver |
Keiner dieser Verschlüsselungstypen, die in dieser Richtlinie verfügbar sind, ist zulässig. |
Effektive Gruppenrichtlinien-Standardeinstellungen auf Clientcomputern |
Keiner dieser Verschlüsselungstypen, die in dieser Richtlinie verfügbar sind, ist zulässig. |
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Windows Server 2008 R2 und Windows 7 unterstützen nicht die DES-Kryptografie-Suite, da stärkere verfügbar sind. Um Kerberos-Interoperabilität mit Nicht-Windows-Versionen des Kerberos-Protokolls zu ermöglichen, können diese Suiten aktiviert werden. Dadurch können jedoch Angriffsvektoren auf Computern unter Windows Server 2008 R2 und Windows 7 geöffnet werden. Sie können DES auch für Computer unter Windows Vista und Windows Server 2008 deaktivieren.
Gegenmaßnahme
Konfigurieren Sie diese Richtlinie nicht. Dies bewirkt, dass Computer unter Windows Server 2008 R2 und Windows 7 die AES- oder RC4-Kryptografie-Suiten verwenden müssen.
Mögliche Auswirkung
Wenn Sie keinen der Verschlüsselungstypen aktivieren, kann es bei Computern unter Windows Server 2008 R2 und Windows 7 möglicherweise zu Kerberos-Authentifizierungsfehlern kommen, wenn Verbindungen mit Computern, auf denen Nicht-Windows-Versionen des Kerberos-Protokolls ausgeführt werden, hergestellt werden sollen.
Wenn Sie einen beliebigen Verschlüsselungstyp auswählen, verringern Sie die Effektivität der Verschlüsselung für die Kerberos-Authentifizierung, aber Sie verbessern die Interoperabilität mit Computern, auf denen ältere Windows-Versionen ausgeführt werden.
Aktuelle Nicht-Windows-Implementierungen des Kerberos-Protokolls unterstützen RC4- sowie AES-128-Bit- und AES-256-Bit-Verschlüsselung. Die meisten Implementierungen, darunter auch das MIT-Kerberos-Protokoll und das Windows-Kerberos-Protokoll, unterstützen die DES-Verschlüsselung nicht mehr.