AD通过LDAP支持的查询Kerberos加密模式

Question

简而言之:我需要一种方法来检索Microsoft的网络安全策略中允许的加密模式。

加密模式对于在主机的本地密钥选项卡中为服务主体创建正确的密钥集至关重要。

用户帐户具有属性msDS-SupportedEncryptionTypes，该属性将模式作为位集提供。这可以由Windows管理员通过一些输入表单进行配置。但是，“计算机帐户”缺少此属性，除非在LDAP中手动设置该属性。也没有类似的输入形式。

现在，根据官方文件的规定，每个“计算机帐户”的设置都是从本地策略继承的。我想我需要的是通过LDAP查找这个策略。但是怎么做呢？

Answer 1

根据这个其他msdn博客，所有的计算机帐户都有这个属性，但是遗留系统(pre /2008)没有填充它。快速浏览一下AD中的计算机对象就会发现这些属性，在powershell中使用active目录模块(因此启动powershell并使用‘导入-模块活动目录“加载模块非常简单：

get-adcomputer -properties msDS-SupportedEncryptionTypes -filter *

就是这样，您可以得到一个带有属性的对象列表。在我的例子中，我得到了"28“(这显然相当于"RC4”、"AES128“、"AES256”)

Answer 2

我有几个可能会有所帮助的项目。

在进行一个密码项目时，我注意到许多项目都是以旧类型的形式返回的，而当前更安全的版本允许使用AES256，我已经通过网络扫描收集了点击量。这可以通过测试绑定到AD对象(如用户或计算机对象)的SPN来看出。但最终所有的道路都会带你回到广告项目。

测试一个命中，例如CIFS/测试一个使用powershell代码添加到测试计算机对象中的演示spn

清除Add-type -AssemblyName System.IdentityModel $SessionKey = New-Object -ArgumentList CIFS/test -ErrorAction SilentlyContinue klist

客户端:管理员@ DOMAIN1.INT服务器: CIFS/test @ DOMAIN1.INT加密类型: RSADSI RC4-HMAC(NT)票标0x40a10000 ->可转发可再生pre_authent name_canonicalize启动时间: 3/17/2022 23:52:52 (本地)结束时间: 3/18/2022 9:52:52 (本地)更新时间: 3/24/2022 23:52:52 (本地)会话密钥类型: RSADSI RC4-HMAC(NT)

查看测试计算机对象的测试AD，然后将高级视图添加到DSA.MSC程序中，将直接链接到值集msDS，因为上面添加了这两个答复。100%加油。现在，它可以通过AD中的对象来使用更强级别的密码。

请参阅https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/decrypting-the-selection-of-supported-kerberos-encryption-types/ba-p/1628797

我已经做了一些测试，为了公平起见，当您选择一个值，比如RC4和AES，即使您使用AES 128和256个服务器时，也总是选择strongist值。

例如，当我将AD计算机对象“非用户帐户”上的值设置为23 - DES_CBC_CRC、DES_CBC_MD5、RC4、AES 256时

#1>客户端:管理员@ DOMAIN1.INT服务器: CIFS/test @ DOMAIN1.INT加密类型:AES-256-CTS SHA1-96票标0x40a10000 ->可转发可再生pre_authent name_canonicalize启动时间: 3/18/2022 0:00:33 (本地)结束时间: 3/18/2022 10:00:33 (本地)更新时间: 3/25/2022 0:00:33 (本地)会话密钥类型:AES-256-CTS-HMA1-96

注意，这只是有限的测试，所以不要跑掉，开始将它转到现实世界:)只是想和大家分享一些东西。