在我们部署 2022 年 11 月的 OOB 补丁来解决我们 DC 上的 Kerberos 交易之前,我有一个非常具体的问题。
1st - 我klist
在 Windows 机器上运行了一个命令,它返回了大约 16 个服务器条目。其中我注意到 KerbTicket 类型等于RSADSI-RC4–HMAC(NT),并且会话密钥匹配,由 KDC 调用。
我的问题是 22 年 11 月的 OOB 补丁更正/改变将 KDC 票证上的实际 Kerberos 加密设置改为更新的标准 (AES),还是必须手动修改?我们已经撤回了之前的更新,我认为我们的基础设施团队忽略了 Kerberos 实际发布的内容。每个人都专注于补丁和注册表项。
第二 - 我们的环境中有很多 2008 服务器……幸好没有一个是 DC……但是我们可以手动向上调整加密以避开 RC4 以避免出现问题吗?我知道 OOB 补丁通过 DC 禁用了这些服务器和 Windows 7 上的 RC4 支持。(令人担忧的是,这将破坏我们 38% 的具有 2008 关键应用程序/基础设施支持的环境中的服务器)。只是希望我们可以选择另一个加密级别。
第三 - 命令中出现的其他 DCklist
显示 AES-256-CTS-HMAC-SHA1-96,作为 KerbTicket 类型和会话密钥,我认为它们都没问题,并且不会受到 OOB 补丁的危害。
有人能告诉我我的第一点和第二点是否有问题吗?我认为我们需要手动确保 Kerberos 在修补后不会明确发放 RC4 的票证,但想向 MGT 提供正确的信息,即 OOB 补丁修改了加密设置或只是禁用了 RC4。谢谢。