Compartilhar via


A ID de evento 16 ou 27 do KDC será registrada se o DES para Kerberos estiver desabilitado

Este artigo descreve como habilitar a criptografia DES para autenticação Kerberos no Windows 7 e no Windows Server 2008 R2.

Aplica-se a: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1
Número original do KB: 977321

Resumo

A partir do Windows 7, Windows Server 2008 R2 e todos os sistemas operacionais Windows posteriores, a criptografia DES (Data Encryption Standard) para autenticação Kerberos está desabilitada. Este artigo descreve vários cenários nos quais você pode receber os seguintes eventos nos logs de Aplicativo, Segurança e Sistema porque a criptografia DES está desabilitada:

  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS

Além disso, este artigo explica como habilitar a criptografia DES para autenticação Kerberos no Windows 7 e no Windows Server 2008 R2. Para obter informações detalhadas, consulte as seções "Sintomas", "Causa" e "Solução alternativa" deste artigo.

Sintomas

Considere os seguintes cenário:

  • Um serviço usa uma conta de usuário ou uma conta de computador configurada apenas para criptografia DES em um computador que está executando o Windows 7 ou o Windows Server 2008 R2.
  • Um serviço usa uma conta de usuário ou uma conta de computador configurada apenas para criptografia DES e que está em um domínio junto com controladores de domínio baseados no Windows Server 2008 R2.
  • Um cliente que está executando o Windows 7 ou o Windows Server 2008 R2 se conecta a um serviço usando uma conta de usuário ou uma conta de computador configurada apenas para criptografia DES.
  • Uma relação de confiança é configurada apenas para criptografia DES e inclui controladores de domínio que executam o Windows Server 2008 R2.
  • Um aplicativo ou serviço é codificado para usar apenas a criptografia DES.

Em qualquer um desses cenários, você pode receber os seguintes eventos nos logs de Aplicativo, Segurança e Sistema junto com a origem Microsoft-Windows-Kerberos-Key-Distribution-Center :

ID Nome simbólico Mensagem
27 KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS Ao processar uma solicitação TGS para o servidor de destino %1, a conta %2 não tinha uma chave adequada para gerar um tíquete Kerberos (a chave ausente tem uma ID de %3). Os tipos solicitados foram %4. Os tipos de contas disponíveis eram %5.
ID do evento 27 – Configuração do tipo de criptografia KDC
16 KDCEVENT_NO_KEY_INTERSECTION_TGS Ao processar uma solicitação TGS para o servidor de destino %1, a conta %2 não tinha uma chave adequada para gerar um tíquete Kerberos (a chave ausente tem uma ID de %3). Os tipos solicitados foram %4. Os tipos de contas disponíveis eram %5. Alterar ou redefinir a senha de %6 gerará uma chave adequada.
ID do evento 16 - Integridade da chave Kerberos

Causa

Por padrão, as configurações de segurança da criptografia DES para Kerberos estão desabilitadas nos seguintes computadores:

  • Computadores que executam o Windows 7
  • Computadores que executam o Windows Server 2008 R2
  • Controladores de domínio que executam o Windows Server 2008 R2

Observação

O suporte criptográfico para Kerberos existe no Windows 7 e no Windows Server 2008 R2.By padrão, o Windows 7 usa os seguintes pacotes de criptografia AES (Advance Encryption Standard) ou RC4 para "tipos de criptografia" e para "etypes":

  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC

Os serviços configurados apenas para criptografia DES falham, a menos que as seguintes condições sejam verdadeiras:

  • O serviço é reconfigurado para dar suporte à criptografia RC4 ou para dar suporte à criptografia AES.
  • Todos os computadores cliente, todos os servidores e todos os controladores de domínio do domínio da conta de serviço são configurados para dar suporte à criptografia DES.

Por padrão, Windows 7 e Windows Server 2008 R2 dão suporte aos seguintes pacotes de criptografia: O pacote de criptografia DES-CBC-MD5 e o pacote de criptografia DES-CBC-CRC podem ser habilitados no Windows 7 quando necessário.

Solução alternativa

É altamente recomendável que você verifique se a criptografia DES ainda é necessária no ambiente ou verifique se serviços específicos exigem apenas criptografia DES. Verifique se o serviço pode usar criptografia RC4 ou AES ou verifique se o fornecedor tem uma alternativa de autenticação que tenha criptografia mais forte.

O 978055 de hotfix é necessário para que os controladores de domínio baseados no Windows Server 2008 R2 manipulem corretamente as informações de tipo de criptografia replicadas dos controladores de domínio que executam o Windows Server 2003. Veja mais informações abaixo.

  1. Determine se o aplicativo está codificado para usar apenas a criptografia DES. Mas ele é desabilitado pelas configurações padrão em clientes que executam o Windows 7 ou em KDCs (Centros de Distribuição de Chaves).

    Para verificar se você é afetado por esse problema, colete alguns rastreamentos de rede e verifique se há rastreamentos semelhantes aos seguintes rastreamentos de exemplo:

    Quadro 1 {TCP:48, IPv4:47} <SRC IP><DEST IP> KerberosV5 KerberosV5:TGS Região da solicitação: CONTOSO.COM Sname: HTTP/<hostname.<>FQDN>

    Quadro 2 {TCP:48, IPv4:47} <DEST IP><SRC IP> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)

    0.000000 {TCP:48, IPv4:47} <IP de destino do> IP<>de origem KerberosV5 KerberosV5:TGS Região da solicitação: <fqdn> Sname: HTTP/<nome> do host.<Fqdn>
    -Etipo:
    +SequenceOfHeader:
    +ETtipo: aes256-cts-hmac-sha1-96 (18)
    +ETtipo: aes128-cts-hmac-sha1-96 (17)
    +ETtipo: rc4-hmac (23)
    +ETipa: rc4-hmac-exp (24)
    + EType: rc4 hmac exp antigo (0xff79)
    +TagA:
    +EncAuthorizationData:

  2. Determine se a conta de usuário ou a conta de computador está configurada apenas para criptografia DES.

    No snap-in "Usuários e Computadores do Active Directory", abra as propriedades da conta de usuário e verifique se a opção Usar tipos de criptografia Kerberos DES para esta conta está definida na guia Conta.

Se você concluir que é afetado por esse problema e que precisa ativar o tipo de criptografia DES para autenticação Kerberos, habilite as seguintes Políticas de Grupo para aplicar o tipo de criptografia DES a todos os computadores que executam o Windows 7 ou o Windows Server 2008 R2:

  1. No GPMC (Console de Gerenciamento de Política de Grupo), localize o seguinte local:

    Configuração do Computador\ Configurações do Windows\ Configurações de Segurança\ Políticas Locais\ Opções de Segurança

  2. Clique para selecionar a opção Segurança de rede: configurar tipos de criptografia permitidos para Kerberos.

  3. Clique para selecionar Definir essas configurações de política e todas as seis caixas de seleção para os tipos de criptografia.

  4. Clique em OK. Feche o GPMC.

Observação

A política define a SupportedEncryptionTypes entrada do Registro como um valor de 0x7FFFFFFF. A SupportedEncryptionTypes entrada do Registro está no seguinte local:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\

Dependendo do cenário, talvez seja necessário definir essa diretiva no nível do domínio para aplicar o tipo de criptografia DES a todos os clientes que executam o Windows 7 ou o Windows Server 2008 R2. Ou talvez seja necessário definir essa diretiva na unidade organizacional (UO) do controlador de domínio para os controladores de domínio que executam o Windows Server 2008 R2.

Mais informações

Os problemas de compatibilidade de aplicativos somente DES são encontrados nas duas configurações a seguir:

  • O aplicativo de chamada é codificado apenas para criptografia DES.
  • A conta que executa o serviço está configurada para usar apenas a criptografia DES.

Os seguintes critérios de tipo de criptografia devem ser atendidos para que a autenticação Kerberos funcione:

  1. Existe um tipo comum entre o cliente e o controlador de domínio para o autenticador no cliente.
  2. Existe um tipo comum entre o controlador de domínio e o servidor de recursos para criptografar o tíquete.
  3. Existe um tipo comum entre o cliente e o servidor de recursos para a chave de sessão.

Considere a seguinte situação:

Função SO Nível de criptografia com suporte para Kerberos
DC Windows Server 2003 RC4 e DES
Cliente Windows 7 AES e RC4
Servidor de recursos J2EE DES

Nessa situação, o critério 1 é satisfeito pela criptografia RC4 e o critério 2 é satisfeito pela criptografia DES. O terceiro critério falha porque o servidor é somente DES e porque o cliente não dá suporte ao DES.

O hotfix 978055 deve ser instalado em cada controlador de domínio baseado no Windows Server 2008 R2 se as seguintes condições forem verdadeiras no domínio:

  • Existem algumas contas de usuário ou computador habilitadas para DES.
  • No mesmo domínio, há um ou mais controladores de domínio que executam o Windows 2000 Server, o Windows Server 2003 ou o Windows Server 2003 R2.

Observação

  • O 978055 de hotfix é necessário para que os controladores de domínio baseados no Windows Server 2008 R2 manipulem corretamente as informações de tipo de criptografia replicadas dos controladores de domínio que executam o Windows Server 2003.
  • Os controladores de domínio baseados no Windows Server 2008 não exigem esse hotfix.
  • Esse hotfix não será necessário se o domínio tiver apenas controladores de domínio baseados no Windows Server 2008.

Para obter mais informações, clique no número de artigo a seguir para visualizar o artigo na Base de Dados de Conhecimento Microsoft:

978055 CORREÇÃO: As contas de usuário que usam criptografia DES para tipos de autenticação Kerberos não podem ser autenticadas em um domínio do Windows Server 2003 depois que um controlador de domínio do Windows Server 2008 R2 ingressa no domínio