Поддержка KDC требований, комплексной проверки подлинности и защиты Kerberos

Этот параметр политики позволяет настроить на контроллере домена поддержку утверждений для динамического контроля доступа и защиты Kerberos с использованием проверки подлинности Kerberos.

Если вы включаете этот параметр политики, то клиентские компьютеры, поддерживающие утверждения, составную проверку подлинности для динамического контроля доступа и защиту Kerberos, используют эту функцию для сообщений проверки подлинности Kerberos. Чтобы обеспечить согласованное применение рассматриваемой политики в домене, данный параметр политики должен быть применен на всех контролерах домена.

Если вы отключаете или не задаете этот параметр политики, то контроллер домена не поддерживает утверждения, составную проверку подлинности и защиту.

Если вы выбрали вариант «Не поддерживается», то контроллер домена не поддерживает утверждения, составную проверку подлинности и защиту (этот вариант задан по умолчанию на контроллерах домена, работающих под управлением операционных систем Windows Server 2008 R2 и более ранних версий).

Примечание. Чтобы следующие варианты этой политики KDC были эффективны, на поддерживаемых системах необходимо включить групповую политику Kerberos «Поддержка клиентами Kerberos требований, комплексной проверки подлинности и защиты Kerberos». Если этот параметр политики Kerberos не включен, сообщения проверки подлинности Kerberos не будут использовать эти функции.

Если вы выбрали вариант «Поддерживается», то контроллер домена поддерживает утверждения, составную проверку подлинности и защиту Kerberos. Контроллер домена уведомляет клиентские компьютеры Kerberos о том, что домен поддерживает утверждения и составную проверку подлинности для динамического контроля доступа и защиты Kerberos.

Требования к режиму работы домена
Если задан режим работы домена Windows Server 2008 R2 или более ранней версии, то для параметров «Всегда предоставлять утверждения» и «Отклонять запросы проверки подлинности без защиты» контроллеры домена работают так же, как если бы был выбран вариант «Поддерживается».

Если задан режим работы домена Windows Server 2012, то контроллер домена уведомляет клиентские компьютеры Kerberos о том, что домен поддерживает утверждения и составную проверку подлинности для динамического контроля доступа и защиты Kerberos, а также:
— Если вы устанавливаете параметр «Всегда предоставлять утверждения», всегда возвращает утверждения для учетных записей и поддерживает режим RFC для уведомления о защищенном туннелировании гибкой проверки подлинности (FAST).
— Если вы устанавливаете параметр «Отклонять запросы проверки подлинности без защиты», отклоняет незащищенные сообщения Kerberos.

Внимание! Если установлен параметр «Отклонять запросы проверки подлинности без защиты», то клиентские компьютеры, не поддерживающие защиту Kerberos, не проходят проверку подлинности на контроллере домена.

Чтобы обеспечить эффективность этой функции, выполните развертывание достаточного числа контроллеров домена, поддерживающих утверждения и составную проверку подлинности для динамического контроля доступа и защиты Kerberos для обработки запросов проверки подлинности. Нехватка контроллеров домена, поддерживающих этот параметр политики, будет вызывать сбои проверки подлинности, если необходим динамический контроль доступа или защита Kerberos (то есть выбран вариант «Поддерживается»).

Как меняется производительность контроллеров домена, если этот параметр политики включен:
— Безопасное обнаружение возможностей домена Kerberos является обязательным, что приводит к дополнительному обмену сообщениями.
— Использование утверждений и комплексной проверки подлинности для динамического контроля доступа увеличивает объем и сложность данных в сообщениях, что увеличивает время обработки и размер билета службы Kerberos.
— Для защиты Kerberos сообщения полностью шифруются, а ошибки Kerberos подписываются, что увеличивает время обработки, но не изменяет размер билета службы.

Поддерживается: Не ниже Windows Server 2012, Windows 8 или Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Value NameEnableCbacAndArmor
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Параметры утверждений, составной проверки подлинности для динамического контроля доступа и защиты Kerberos:


  1. Не поддерживается
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value0
  2. Поддерживается
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value1
  3. Всегда предоставлять утверждения
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value2
  4. Отклонять запросы проверки подлинности без защиты
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value3


kdc.admx

Административные шаблоны (компьютеры)

Административные шаблоны (пользователи)