KDC で信頼性情報、複合認証、および Kerberos 防御をサポートする

このポリシー設定では、Kerberos 認証を使用して、ダイナミック アクセス制御の信頼性情報と複合認証、および Kerberos 防御をサポートするように、ドメイン コントローラーを構成できます。

このポリシー設定を有効にすると、ダイナミック アクセス制御の信頼性情報と複合認証をサポートする、Kerberos 防御対応のクライアント コンピューターでは、Kerberos 認証メッセージに対してこの機能が使用されます。ドメイン内でこのポリシーを一貫して適用するには、すべてのドメイン コントローラーにこのポリシー設定を適用する必要があります。

このポリシー設定を無効にした場合、または構成しなかった場合、ドメイン コントローラーでは、信頼性情報、複合認証、または防御はサポートされません。

[サポートなし] オプションを構成した場合、ドメイン コントローラーでは信頼性情報、複合認証、防御のいずれもサポートされません。これは、Windows Server 2008 R2 以前のオペレーティング システムを実行しているドメイン コントローラーの既定の動作です。

注: KDC ポリシーの以下のオプションを有効にするには、サポートされるシステムで Kerberos グループ ポリシーの [Kerberos クライアントで信頼性情報、複合認証、および Kerberos 防御をサポートする] を有効にする必要があります。この Kerberos ポリシー設定が有効でない場合、Kerberos 認証メッセージでこれらの機能は使用されません。

[サポート] を構成した場合、ドメイン コントローラーで信頼性情報、複合認証、および Kerberos 防御がサポートされます。ドメイン コントローラーは、ドメインがダイナミック アクセス制御の信頼性情報と複合認証、および Kerberos 防御に対応していることを Kerberos クライアント コンピューターにアドバタイズします。

ドメインの機能レベル要件
[常に信頼性情報を提供する] および [防御されていない要求を失敗とする] オプションについては、ドメインの機能レベルが Windows Server 2008 R2 以前に設定されている場合、ドメイン コントローラーの動作は [サポート] が選択されているときと同じになります。

ドメインの機能レベルが Windows Server 2012 に設定され、ドメイン コントローラーで、ドメインがダイナミック アクセス制御の信頼性情報と複合認証、および Kerberos 防御に対応していることを Kerberos クライアント コンピューターにアドバタイズする場合:
- [常に信頼性情報を提供する] オプションを設定すると、アカウントに関する信頼性情報が必ず返されます。また、フレキシブル認証セキュア トンネリング (FAST: Flexible Authentication Secure Tunneling) のアドバタイズに関する RFC 動作がサポートされます。
- [防御されていない要求を失敗とする] オプションを設定すると、防御されていない Kerberos メッセージが拒否されます。

警告: [防御されていない要求を失敗とする] が設定されていると、Kerberos 防御をサポートしていないクライアント コンピューターはドメイン コントローラーに認証されません。

この機能が確実に使用されるようにするには、ダイナミック アクセス制御の信頼性情報と複合認証をサポートする、Kerberos 防御対応のドメイン コントローラーを、認証要求を処理するのに十分な数だけ展開します。このポリシーをサポートするドメイン コントローラーの数が不足している場合に、ダイナミック アクセス制御または Kerberos 防御が要求されると (つまり、[サポート] オプションが有効になると)、認証エラーが発生します。

このポリシー設定が有効になっている場合のドメイン コントローラーのパフォーマンスに対する影響:
- セキュリティで保護された Kerberos ドメイン機能の検出が必要になり、メッセージ交換が別途発生します。
- ダイナミック アクセス制御の信頼性情報と複合認証によってメッセージのデータのサイズおよび複雑さが増すため、処理時間が長くなるほか、Kerberos サービス チケットのサイズが大きくなります。
- Kerberos 防御では Kerberos メッセージを完全に暗号化し、Kerberos のエラーに署名するため、処理時間が長くなります。ただし、サービス チケットのサイズは変わりません。

サポートされるバージョン: Windows Server 2012、Windows 8、Windows RT またはそれ以降

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Value NameEnableCbacAndArmor
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

ダイナミック アクセス制御の信頼性情報と複合認証および Kerberos 防御オプション:


  1. サポートなし
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value0
  2. サポート
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value1
  3. 常に信頼性情報を提供する
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value2
  4. 防御されていない要求を失敗とする
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value3


kdc.admx

管理用テンプレート (コンピューター)

管理用テンプレート (ユーザー)