Table of contents
TOC
Tartalomjegyzék összecsukása
Tartalomjegyzék kibontása

Az RC4-es titkos kulcsokat használó jelszavak Kerberos általi módosításának megakadályozása

Justin Hall|Utoljára frissítve:: 2016. 12. 06.
|
1 Közreműködő

Vonatkozik: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 és Windows Server 2008

Ez a témakör az INFORMATIKAI szakemberek a Kerberos protokoll, amely a Vezérlőpult a felhasználói fiók véve támadók tehet néhány korlátozás tartalmazza. A jól ismert, az ágazatban, amellyel támadók hitelesítés a felhasználó, vagy a felhasználói jelszó módosítása, ha a támadó tudja a felhasználói kulcsot Kerberos hálózati hitelesítési szolgáltatás (V5) szabványt (RFC 4120), a korlátozás van.

A felhasználói jelszó származó Kerberos titkos kulcsok (RC4 és Speciális titkosítási szokásos [AES] Alapértelmezés szerint) birtokában érvényességét RFC 4757 / Kerberos jelszó módosítása exchange során. A titkosítatlan jelszó soha nem áll rendelkezésre a kulcsot terjesztésével Center (KDC), és alapértelmezés szerint aktív mappába tartományhoz vezérlők nem rendelkeznek titkosítatlan jelszavak fiókok egy példányát. Ha a tartományhoz vezérlő nem támogatja a Kerberos titkosítás írja be, a titkos kulcs jelszavának módosítása nem lehet használni.

A Windows operációs rendszer által biztosított konkrét Ez a témakör elején érvényes a listában háromféleképpen blokkolása, jelszavak módosítása RC4 titkos kulcsokkal Kerberos használatával a lehetősége:

  • Állítsa be a felhasználói fiók vegye fel a fiók lehetőségét intelligens kártya, interaktív bejelentkezés szükség. Ez a felhasználót, hogy csak egy érvényes intelligens kártya bejelentkezni, hogy RC4 hitelesítés szolgáltatás kéréseket (AS-REQs) elutasítja a rendszer korlátozza. A fiók beállítása a fiók, a fiók tulajdonságok, kattintson a jobb gombbal, majd kattintson a fiók lapján.

  • Tiltsa le az összes RC4 Kerberos támogatást. Ehhez legalább Windows Server 2008 működési szintje és egy környezet, ahol az összes Kerberos ügyfelek, alkalmazás-kiszolgálók és megbízhatósági kapcsolatok, és a tartomány AES támogatja. A Windows Server 2008 és Windows Vista AES támogatása bevezettük.

    [!NOTE] Van egy ismert probléma, amely a rendszer újraindítására RC4 letiltása. Olvassa el a következő gyorsjavítás:

  • Tartomány beállítása telepítése a Windows Server 2012 R2 működési szint vagy újabb, és állítsa be a felhasználók a felhasználók védett biztonsági csoport tagjaival. Mivel ez a szolgáltatás megszakítja a Kerberos protokoll csak több mint RC4 használati, hogy az alábbi forrásokból tájékozódhat meg is szakasz.

Lásd még:

© 2017 Microsoft