Obsługa oświadczeń, tożsamości złożonej i ochrony protokołu Kerberos w centrum dystrybucji kluczy

To ustawienie zasad umożliwia skonfigurowanie kontrolera domeny pod kątem obsługi oświadczeń i tożsamości złożonej na potrzeby dynamicznej kontroli dostępu, a także ochrony protokołu Kerberos podczas używania uwierzytelniania Kerberos.

Jeśli to ustawienie zasad zostanie włączone, komputery klienckie obsługujące oświadczenia i tożsamość złożoną na potrzeby dynamicznej kontroli dostępu, a także ochronę protokołu Kerberos będą używać tej funkcji dla komunikatów uwierzytelniania Kerberos. Te zasady należy wprowadzić na wszystkich kontrolerach domeny w celu zapewnienia ich spójnego stosowania w domenie.

Jeśli to ustawienie zostanie wyłączone lub pozostanie nieskonfigurowane, kontroler domeny nie będzie obsługiwać oświadczeń, tożsamości złożonej ani ochrony protokołu.

Jeśli zostanie skonfigurowana opcja „Nieobsługiwany", kontroler domeny nie będzie obsługiwać oświadczeń, tożsamości złożonej ani ochrony protokołu, co jest domyślnym zachowaniem kontrolerów domeny z systemem operacyjnym Windows Server 2008 R2 lub wcześniejszymi wersjami.

Uwaga: aby poniższe opcje tej zasady dotyczącej centrum dystrybucji kluczy działały, zasady grupy protokołu Kerberos „Obsługa oświadczeń, tożsamości złożonej i ochrony protokołu Kerberos przez klienta protokołu Kerberos" musi być włączona w obsługiwanych systemach. Jeśli ustawienie zasad protokołu Kerberos nie jest włączone, komunikaty uwierzytelniania Kerberos nie będą używały tych funkcji.

Jeśli zostanie skonfigurowana opcja „Obsługiwany", kontroler domeny będzie obsługiwać oświadczenia, tożsamość złożoną i ochronę protokołu Kerberos. Kontroler domeny anonsuje komputerom klienckim protokołu Kerberos, że domena obsługuje oświadczenia i tożsamość złożoną na potrzeby dynamicznej kontroli dostępu oraz ochronę protokołu Kerberos.

Wymagania poziomu funkcjonalności domeny
W przypadku opcji „Zawsze dostarczaj oświadczenia" i „Odrzucaj niechronione żądania uwierzytelniania" ustawienie poziomu funkcjonalności domeny na system Windows Server 2008 R2 lub wcześniejszą wersję powoduje, że zachowanie kontrolerów domeny jest takie, jak gdyby była zaznaczona opcja „Obsługiwany".

Gdy poziom funkcjonalności domeny jest ustawiony na system Windows Server 2012, kontroler domeny anonsuje komputerom klienckim protokołu Kerberos, że domena obsługuje oświadczenia i tożsamość złożoną na potrzeby dynamicznej kontroli dostępu oraz ochronę protokołu Kerberos, a także:
– Jeśli ustawiono opcję „Zawsze dostarczaj oświadczenia", kontroler domeny będzie zawsze zwracać oświadczenia także dla kont i będzie obsługiwać zachowanie zgodne ze specyfikacją RFC na potrzeby anonsowania protokołu FAST (Flexible Authentication Secure Tunneling).
– Jeśli ustawiono opcję „Odrzucaj niechronione żądania uwierzytelniania", kontroler domeny będzie odrzucać niechronione komunikaty Kerberos.

Ostrzeżenie: ustawienie opcji „Odrzucaj niechronione żądania uwierzytelniania" powoduje, że na kontrolerze domeny nie można uwierzytelniać komputerów klienckich nieobsługujących ochrony protokołu Kerberos.

Aby zapewnić efektywne działanie tej funkcji, należy wdrożyć wystarczającą liczbę kontrolerów domeny obsługujących oświadczenia i tożsamość złożoną na potrzeby dynamicznej kontroli dostępu oraz ochronę protokołu Kerberos, aby mogły obsłużyć żądania uwierzytelnienia. Niewystarczająca liczba kontrolerów domeny obsługujących te zasady spowoduje niepowodzenia uwierzytelniania przy każdym żądaniu wymagającym użycia dynamicznej kontroli dostępu lub ochrony protokołu Kerberos (to znaczy przy włączonej opcji „Obsługiwany").

Wpływ na wydajność kontrolera domeny, jeśli to ustawienie zasad jest włączone:
– Wymagane jest bezpieczne odnajdowanie możliwości domeny protokołu Kerberos, co powoduje dodatkową wymianę komunikatów.
– Oświadczenia i uwierzytelnianie złożone na potrzeby dynamicznej kontroli dostępu zwiększają ilość i złożoność danych w komunikacie, co powoduje wydłużenie czasu przetwarzania i zwiększenie rozmiaru biletu usługi Kerberos.
– Ochrona protokołu Kerberos umożliwia pełne szyfrowanie komunikatów Kerberos i podpisywanie błędów protokołu Kerberos, co powoduje wydłużenie czasu przetwarzania, ale nie powoduje zmiany rozmiaru biletu usługi.

Obsługiwane na: Co najmniej system Windows Server 2012, Windows 8 lub Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Value NameEnableCbacAndArmor
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Opcje oświadczeń, uwierzytelniania złożonego na potrzeby dynamicznej kontroli dostępu oraz ochrony protokołu Kerberos:


  1. Nieobsługiwany
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value0
  2. Obsługiwany
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value1
  3. Zawsze dostarczaj oświadczenia
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value2
  4. Odrzucaj niechronione żądania uwierzytelniania
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value3


kdc.admx

Szablony administracyjne (Komputery)

Szablony administracyjne (Użytkownicy)