我在 Windows 2012R2 域控制器的安全事件日志中平均每小时记录了 17-18 个失败审计事件,这些事件与 Windows 2008R2 成员服务器尝试获取 Kerberos 服务票证有关
A Kerberos service ticket was requested.
Account Information:
Account Name: [email protected]
Account Domain: ACME.COM
Logon GUID: {00000000-0000-0000-0000-000000000000}
Service Information:
Service Name: krbtgt/ACME.COM
Service ID: S-1-0-0
Network Information:
Client Address: ::ffff:192.168.1.15
Client Port: 28904
Additional Information:
Ticket Options: 0x60810010
Ticket Encryption Type: 0xFFFFFFFF
Failure Code: 0xE
Transited Services: -
This event is generated every time access is requested to a resource such as a computer or a Windows service. The service name indicates the resource to which access was requested.
This event can be correlated with Windows logon events by comparing the Logon GUID fields in each event. The logon event occurs on the machine that was accessed, which is often a different machine than the domain controller which issued the service ticket.
Ticket options, encryption types, and failure codes are defined in RFC 4120.
故障代码 0xE 表示不支持身份验证类型。我使用 Wireshark 监控了服务器之间的流量,发现 Windows 2008R2 服务器正在向域控制器发出请求,要求使用加密类型 aes256-cts-hmac-sha1-96 启动会话。该请求被拒绝,错误代码为“不支持加密类型”,事件日志中记录了审核失败。然后,Windows 2008 服务器发送 5 种加密类型的列表,域控制器从中响应所选类型:ARCFOUR-HMAC-MD5。此后,流量继续正常进行,我假设 2 台服务器正在使用它们商定的加密参数。我发现 2 台服务器之间没有其他问题。有什么建议可以消除这些事件吗?这只是审核策略的问题吗?也许我可以强制 Windows 2008R2 服务器使用一组不同的加密协议参数启动其请求?
答案1
您需要提升 DFL 才能使用“较新”(大约 2008 年)的 AES 加密类型。请注意,从 2003 年提升时,krbtgt 帐户密码将更改(两个都更改),这可能会造成影响,因此您应该准备好根据需要重新启动服务器/服务以进行恢复。
此外,如果您不需要 DES 加密类型,则不应启用它,并且如果它与您的环境兼容,甚至禁用 RC4 加密类型并仅使用 AES 也是更好的选择,因为 RC4 安全性不是最理想的。
有关详细信息,请参阅以下内容:
答案2
奇怪的是 2012 R2 DC 拒绝基于 AES256 的加密类型,因为它默认受支持。您的域中是否配置了任何组策略来故意限制默认支持的加密类型?
我会在你的 DC 上运行 RSOP 报告并检查配置。特别是检查部分Windows Settings - Security Settings - Local Policies - Security Options
。其中有一个名为网络安全:配置 Kerberos 允许的加密类型可以配置为禁止一种或多种 AES 算法。一些组织已禁用此功能,以便更好地支持不支持较新加密类型的旧客户端。