Изменяет ли патч Kerberos OOB настройки RC4-HMAC на DC?
У меня есть очень конкретный вопрос, прежде чем мы развернем патч OOB от ноября 2022 года, чтобы решить проблему Kerberos на наших контроллерах домена.
1-й — я выполнил команду на компьютере с Windows, и она вернула около 16 записей сервера. Среди них я заметил, что тип KerbTicket равен RSADSI-RC4–HMAC(NT) , а ключ сеанса совпадает с вызываемым KDC.
Мой вопрос: будет ли патч OOB от 22 ноября исправить/изменить фактическую настройку шифрования Kerberos в билетах KDC на обновленный стандарт (AES), или нам придется изменить ее вручную? Мы отменили предыдущие обновления, и я считаю, что наша инфраструктурная группа упустила из виду, что на самом деле выдавал/выдает Kerberos. Все были сосредоточены на патче и записях реестра.
2-й. В нашей среде есть много серверов 2008 года… к счастью, ни один из них не является контроллером домена… но можем ли мы вручную настроить шифрование выше RC4, чтобы избежать проблем? Я понимаю, что патч OOB отключает поддержку RC4 на них и Windows 7 через DC. (Большое опасение, что это нарушит 38% нашей среды, поддерживающей критически важные приложения/инфраструктуру 2008 года). Просто надеюсь, что мы сможем выбрать другой уровень шифрования.
3-й — Остальные DC, появляющиеся в
Может ли кто-нибудь сказать мне, есть ли растяжка в отношении моих 1-го и 2-го пунктов? Я думаю, нам нужно вручную убедиться, что Kerberos не раздает билеты для RC4 явно ПОСЛЕ исправления, но мы хотим предоставить MGT правильную информацию о том, что либо патч OOB изменяет настройки шифрования, либо просто отключает RC4. Спасибо.