Active Directory 사용자 계정이 Kerberos AES 인증을 자동으로 지원하지 않는 이유는 무엇입니까?


8

Windows Server 2012 R2에서 테스트 도메인을 가지고 놀고 있습니다. 가능한 최고 수준의 기능 수준에서 작동하고 있으며 소규모 테스트 환경에서는 이전 버전과의 호환성 문제가 없습니다. 그러나 Kerberos AES 인증을 지원 한다는 사실에도 불구하고 기본적으로 모든 사용자에 대해 활성화되어 있지 않습니다. 실제로 사용자 속성으로 이동하여 "이 계정은 Kerberos AES 128 비트 암호화를 지원합니다"및 / 또는 "이 계정은 Kerberos AES 256 비트 암호화를 지원합니다"를 선택해야합니다.

(AES를 요구하도록 정책을 설정하는 "보호 된 사용자"그룹에 테스트 계정을 추가 할 때이 사실을 처음으로 깨달았습니다. 그 후 모든 네트워크 로그인이 해당 상자를 체크 할 때까지 실패했습니다.)

일부 시스템에서는 이전 버전과의 호환성을 보장하기 위해 이것이 기본적으로 비활성화되어있을 수 있지만 모든 사용자에 대해이를 활성화하는 방법을 찾을 수 없거나 현재 동작에 대한 설명조차 찾을 수 없습니다.

어떤 아이디어?

답변:


10

사용자의 Kerberos AES 확인란을 선택하면 Vista 이전 클라이언트에서 인증이 실패합니다. 이것이 기본적으로 설정되지 않은 이유 일 수 있습니다.

Kerberos AES 지원 확인란은이라는 속성에 설정된 값에 해당합니다. msDS-SupportedEncryptionTypes

둘 이상의 사용자에 대해이를 변경하기 위해 PowerShell 및 ActiveDirectory 모듈을 사용할 수 있습니다.

# The numerical values for Kerberos AES encryption types to support
$AES128 = 0x8
$AES256 = 0x10

# Fetch all users from an OU with their current support encryption types attribute
$Users = Get-ADUser -Filter * -SearchBase "OU=SecureUsers,OU=Users,DC=domain,DC=tld" -Properties "msDS-SupportedEncryptionTypes"
foreach($User in $Users)
{
    # If none are currently supported, enable AES256
    $encTypes = $User."msDS-SupportedEncryptionType"
    if(($encTypes -band $AES128) -ne $AES128 -and ($encTypes -band $AES256) -ne $AES256)
    {
        Set-ADUser $User -Replace @{"msDS-SupportedEncryptionTypes"=($encTypes -bor $AES256)}
    }
}

새 사용자에게 기본적으로 설정하는 방법이 있습니까?
리드 랭킹

2
AD 스키마를 수정하여 새 사용자의 기본값으로 설정할 수 있습니다. 더 자세한 답변을 원한다면 별도의 질문으로 질문해야 할 것입니다.
Ryan Bolger 2016 년

Vista 이전의 클라이언트는 수년 동안 지원되지 않았으므로, msDS-SupportedEncryptionType 속성이없는 모든 사용자에 대해 Microsoft가 기본적으로 AES 암호화 유형을 활성화 한 것이 좋을 것입니다.
Markus Kuhn
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.