Configurando o tipo de criptografia para a pré-autenticação Kerberos

Para se conectar a uma conta de usuário LDAP, um cliente deve solicitar um tíquete de serviço (tíquete TGS) do Centro de Distribuição de chaves Kerberos V5 (KDC) e especificar os algoritmos de criptografia compatíveis. O KDC seleciona um algoritmo de criptografia a ser usado. O valor selecionado determina o tipo de criptografia padrão usado na etapa de pré-autenticação.

Para obter mais informações, consulte a documentação da Microsoft: Segurança de rede: configurar tipos de criptografia permitidos para Kerberos, entradas de registro do protocolo Kerberos e chaves de configuração KDC no Windows.

Para substituir o tipo de criptografia de pré-autenticação padrão usando o editor do registro:

1. No controlador de domínio do Active Directory, pressione Win + R, digite regedit na janela exibida e pressione Enter.

   Isso abre a janela Editor do Registro.

2. Navegue até a seguinte chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
3. Para a chave Parâmetros, crie um novo valor DWORD (32 bits) denominado DefaultEncryptionType com um dos seguintes valores:
   • Para o algoritmo de criptografia AES:
     • aes256-cts-hmac-sha1-96: 18 (decimal) ou 0x12 (hexadecimal). Tipo de criptografia recomendado.
     • aes128-cts-hmac-sha1-96: 17 (decimal) ou 0x11 (hexadecimal).
   • Para a criptografia RC4, é 23 (decimal) ou 0x17 (hexadecimal).
4. Repita as etapas 1 a 3 em cada controlador de domínio do Active Directory.

Para substituir o tipo de criptografia de pré-autenticação padrão usando o PowerShell:

Em cada controlador de domínio do Active Directory, execute o seguinte comando:

New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -Name DefaultEncryptionType –Value 18