我在公司域中拥有多台物理和虚拟服务器。物理和虚拟服务器仍为 Windows 2008 R2。过去几周内,客户端已全部从 Windows 7 更新至 Windows 10。
为了满足 STIG 要求,Active Directory 所有者将 GPO 推送到所有 Windows 10 机器,禁用 RC4 加密,现在仅允许 AES 128/256。他们没有将类似的 GPO 推送到我的 Server 2008 R2 机器。
现在我们的员工无法通过 RDP 进入服务器执行日常任务。
当我询问我们的 IT 部门如何解决此问题时,他们说我需要禁用 RC4 并启用 AES 128/256 或任何“未来加密类型”。但是,我以前从未处理过这种情况。我在哪里以及如何禁用 RC4 并启用 AES 以恢复 RDP 功能?
答案1
微软已经为它提供了一个补丁:https://support.microsoft.com/en-us/kb/3080079
答案2
尝试在每个用户/计算机的 Active Directory 对象中将 LDAP 属性 msDS-SupportedEncryptionType 设置为 8(= 仅 128 位 AES)或 24(= 8+16 = 128 和 256 位 AES)。在 Active Directory 用户和计算机 GUI 中,这相当于在帐户选项卡中勾选“此帐户支持 Kerberos 128/256 加密”框,尽管您也无法轻松禁用 RC4。
关于选择加密类型的两个注意事项:
- 在量子计算机出现之前,没有人真正需要 256 位 AES 加密(16),因此为了提高性能,最好只启用 128 位 AES,而不是 256 位 AES。
- 禁用 RC4 (4) 是可取的,因为 Microsoft 的 Kerberos RC4 加密类型使用与 NTLMv2 相同的密码哈希,因此如果您遭遇传递哈希/mimikatz 攻击窃取其中一个,则启用了 RC4 的 Kerberos 也容易受到攻击。Windows 2000 开发人员专门设计了 Kerberos RC4 加密类型以与 NTLMv2 哈希兼容,因此如果到处都关闭 RC4,我睡得更安稳。