Kerberos-Richtlinie

 

Betrifft: Windows Server 2008, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2

In diesem Thema für IT-Spezialisten werden die Einstellungen für die Kerberos-Richtlinie beschrieben und Links zu Beschreibungen von Richtlinieneinstellungen.

Das Authentifizierungsprotokoll Kerberos Version 5 stellt den Standardmechanismus für Authentifizierungsdienste und die Autorisierungsdaten, die ein Benutzer auf eine Ressource zugreifen, und führen eine Aufgabe mit der Ressource. Durch Verringern der Lebensdauer von Kerberos-Tickets, verringern Sie das Risiko, dass legitime der Anmeldeinformationen eines Benutzers gestohlen und erfolgreich von einem Angreifer verwendet wird. Sie erhöht jedoch auch den Autorisierungsaufwand. In den meisten Umgebungen sollten diese Einstellungen nicht geändert werden müssen.

Diese Richtlinieneinstellungen befinden sich im GPO_name**\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien-Einstellungen\Sicherheitseinstellungen\Kontenrichtlinien\Kerberos-Richtlinie** und können auf einem Domänencontroller festgelegt werden.

Informationen zum Festlegen von Sicherheitsrichtlinien finden Sie unter Gewusst wie: Konfigurieren von Sicherheitsrichtlinien.

Die folgenden Themen enthalten eine Erläuterung der Implementierung und best Practices-Hinweise, Richtlinienspeicherort, Standardwerte für den Servertyp oder ein GPO, relevante Unterschiede in Betriebssystemversionen, Sicherheitsaspekte (einschließlich aller möglichen Einstellungen Schwachstellen), Gegenmaßnahmen, die Sie ergreifen können, und das Potenzial für jede Einstellung auswirken.

• Benutzeranmeldeeinschränkungen erzwingen

  Diese Einstellung bestimmt, ob das Kerberos V5 Key Distribution Center (KDC) jede Anforderung für ein Sitzungsticket anhand der Richtlinien für Benutzerrechte des Benutzerkontos überprüft.

• Max. Gültigkeitsdauer des Diensttickets

  Diese Einstellung bestimmt die maximale Anzahl der Minuten, die ein Sitzungsticket gewährt Zugriff auf einen bestimmten Dienst verwendet werden kann.

• Max. Gültigkeitsdauer des Benutzertickets

  Diese Einstellung bestimmt die maximale Zeitdauer (in Stunden), das Ticket-granting-Ticket eines Benutzers verwendet werden kann.

• Maximale Lebensdauer Benutzerticket

  Diese Einstellung bestimmt den Zeitraum (in Tagen), während die Ticket-granting-Ticket eines Benutzers erneuert werden kann.

• Max. Toleranz für die Synchronisation des Computertakts

  Diese Einstellung bestimmt die maximale Zeit Differenz (in Minuten), die das Kerberos V5-Protokoll unvollständige zwischen dem Zeitpunkt der Client Uhr und die Zeit auf dem Domänencontroller, der Kerberos-Authentifizierung bietet.