Сетевая безопасность: настройка типов шифрования, разрешенных только для Kerberos Win 7
Содержит описание рекомендаций, расположения, значений и вопросов безопасности для параметра политики безопасности Сетевая безопасность: настройка типов шифрования, разрешенных только для Kerberos Win 7.
Справка
Этот параметр политики позволяет задавать типы шифрования, которые может использовать протокол Kerberos. Если этот параметр не выбран, настроить тип шифрования будет нельзя. Этот параметр может влиять на совместимость с клиентскими компьютерами, службами и приложениями. Допускается множественный выбор.
Дополнительные сведения см. в статье 977321 в базе знаний Майкрософт.
В таблице ниже приведены допустимые типы шифрования и их описание.
| Тип шифрования | Описание и поддерживаемые версии ОС |
|---|---|
DES_CBC_CRC |
DES со сцеплением блоков шифра с помощью функции вычисления циклической контрольной суммы Поддерживается в Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista и Windows Server 2008. Операционные системы Windows 7 и Windows Server 2008 R2 не поддерживают тип шифрования DES по умолчанию. |
DES_CBC_MD5 |
DES со сцеплением блоков шифра с помощью вычисления контрольной суммы по алгоритму хэширования MD5 Поддерживается в Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista и Windows Server 2008. Операционные системы Windows 7 и Windows Server 2008 R2 не поддерживают тип шифрования DES по умолчанию. |
RC4_HMAC_MD5 |
Шифр Rivest Cipher 4 с хэш-кодом проверки подлинности сообщения с помощью вычисления контрольной суммы по алгоритму хэширования MD5 Поддерживается в 2000 Server, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2. |
AES128_HMAC_SHA1 |
AES в 128-битном блоке шифра с хэш-кодом проверки подлинности сообщения с помощью алгоритма SHA-1. Не поддерживается в Windows 2000 Server, Windows XP или Windows Server 2003. Поддерживается в Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2. |
AES256_HMAC_SHA1 |
AES в 256-битном блоке шифра с хэш-кодом проверки подлинности сообщения с помощью алгоритма SHA-1. Не поддерживается в Windows 2000 Server, Windows XP или Windows Server 2003. Поддерживается в Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2. |
Будущие типы шифрования |
Зарезервировано корпорацией Майкрософт для дополнительных типов шифрования, которые могут быть реализованы в будущем. |
Возможные значения
Варианты типов шифрования:
DES_CBC_CRC
DES_CBC_MD5
RC4_HMAC_MD5
AES128_HMAC_SHA1
AES256_HMAC_SHA1
Будущие типы шифрования
С выходом Windows 7 и Windows Server 2008 R2 это зарезервировано корпорацией Майкрософт для дополнительных типов шифрования, которые могут быть реализованы в будущем.
Рекомендации
Чтобы определить, какие типы шифрования будут поддерживаться, выполните анализ своей среды, а затем выберите соответствующие типы.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Использование любых типов шифрования, доступных в этой политике, запрещено. |
Действующие параметры рядового сервера по умолчанию |
Использование любых типов шифрования, доступных в этой политике, запрещено. |
Действующие параметры объекта групповой политики по умолчанию на клиентских компьютерах |
Использование любых типов шифрования, доступных в этой политике, запрещено. |
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Windows Server 2008 R2 и Windows 7 не поддерживают криптографические наборы DES, так как для использования доступны более надежные наборы. Эти наборы можно использовать для обеспечения взаимодействия протокола Kerberos с версиями Kerberos, не предназначенными для работы с Windows. Однако это может привести к появлению уязвимости в системе безопасности компьютеров под управлением Windows Server 2008 R2 и Windows 7. Вы также можете отключить DES на компьютерах под управлением Windows Vista и Windows Server 2008.
Меры противодействия
Не настраивайте эту политику. Если это сделать, компьютеры под управлением Windows Server 2008 R2 и Windows 7 будут использовать криптографические наборы AES или RC4.
Возможные последствия
Если не выбрать тип шифрования, на компьютерах под управлением Windows Server 2008 R2 и Windows 7 возможно возникновение сбоев в ходе проверки подлинности по протоколу Kerberos при подключении к компьютерам, на которых используются версии Kerberos, не предназначенные для работы с Windows.
Выбор любого типа шифрования приведет к снижению эффективности шифрования данных в ходе проверки подлинности по протоколу Kerberos, однако, это позволит улучшить взаимодействие с компьютерами под управлением более ранних версий Windows.
Современные реализации протокола Kerberos, не предназначенные для использования с Windows, поддерживают шифрование RC4 и AES с 128-разрядным ключом, а также шифрование AES с 256-разрядным ключом. В большинстве реализаций, включая протоколы MIT Kerberos и Windows Kerberos, шифрование DES исключается.