Kerberos-beleid

Van toepassing op: Windows Server 2008, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2

Dit onderwerp voor IT-professionals de Kerberos-beleidsinstellingen wordt beschreven en vindt u koppelingen naar beschrijvingen van beleid.

Het protocol Kerberos versie 5 verificatie biedt het standaardmechanisme voor verificatie en autorisatiegegevens die noodzakelijk zijn voor een gebruiker toegang tot een bron en een taak uitvoeren voor die bron. U vermindert het risico van een betrouwbare gebruikersreferenties worden gestolen en is gebruikt door een kwaadwillende persoon doordat de levensduur van Kerberos-tickets. Dit ook verhoogt wel de overhead autorisatie. In de meeste omgevingen, moeten deze instellingen niet moet worden gewijzigd.

Deze groepsbeleidsinstellingen bevinden zich GPO_name**\Computerconfiguratie\Windows-instellingen Settings\Security accountbeleid Windows Policy** en kan worden ingesteld op een domeincontroller.

Zie voor meer informatie over het instellen van beveiligingsbeleid Het configureren van instellingen voor beveiligingsbeleid.

De volgende onderwerpen bevatten een beschrijving van de implementatie en best practices overwegingen,, beleidslocatie, standaardwaarden voor de servertype of groepsbeleidsobject relevante verschillen tussen de versies van besturingssystemen, beveiligingsoverwegingen (met inbegrip van de mogelijke instellingen beveiligingslekken van elke instelling), tegenmaatregelen die u kunt uitvoeren en de mogelijke invloed op voor elke instelling.

• Gebruiker aanmeldingsbeperkingen afdwingen

  Met deze beleidsinstelling bepaalt of het Kerberos V5 Center KDC (Key Distribution) elke aanvraag voor een sessieticket tegen het gebruikersbeleid rechten van het gebruikersaccount valideert.

• Maximale levensduur van serviceticket

  Met deze beleidsinstelling bepaalt het maximum aantal minuten dat een toegekend sessieticket kan worden gebruikt voor toegang tot een bepaalde service.

• Maximale levensduur voor gebruikersticket

  Met deze beleidsinstelling bepaalt de maximale hoeveelheid tijd (in uren) die een gebruiker ticket verlenen ticket kan worden gebruikt.

• Maximale levensduur voor Ticketvernieuwing

  Met deze beleidsinstelling bepaalt de tijdsduur (in dagen) die een gebruiker ticket verlenen ticket kan worden vernieuwd.

• Maximale tolerantie voor synchronisatie van computerklok

  Met deze beleidsinstelling bepaalt het maximale tijdverschil (in minuten) de Kerberos V5-protocol maximaal wordt toegestaan tussen de tijd op de client klok en de tijd op de domeincontroller waarmee Kerberos-verificatie.