Я пытаюсь создать сценарий powershell для отключения типа шифрования RC4 Kerberos на Windows 2012 R2 (при условии, что он аналогичен Windows 2016 и 2019).
На Windows 2012 R2, я проверил следующие настройки:
Подход 1:
Administrative Tools->Group Policy management->Edit Default Domain Policy->Computer Configuration->Policies-> Windows Settings-> Security Settings-> Local Policies-> Security Options >> "Network security: Configure encryption types allowed for Kerberos"
до " Включено "только со следующим выбранным: AES_128_HMAC_SHA1, AES256_HMAC_SHA1, Будущие типы шифрования .
Теперь есть также параметр реестра для выполнения чего-то подобного:
Approach2:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\kerberos\parameters" и установите шестнадцатеричное значение на 7ffffff8 (2147483640) .
Approach3:
Затем в соответствии с этой статьей Microsoft , которая говорит HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters для настройки SupportedEncryptionTypes.
Если мне нужно отключить тип шифрования RC4, какой подход я должен использовать. Когда я использую подход 1 и изменяю значения, такие как select AES_128_HMAC_SHA1 только, это, кажется, не отражает значение в значении реестра, указанное в Approach2 или Approach3 .
Когда я следую Approach1 и пишу сценарий оболочки, как показано ниже, кажется, он не включает Network Security: Configure encryption types allowed for Kerberos. Ниже мой сценарий
Import-Module ActiveDirectory
Import-Module GroupPolicy
# Define variables
$GPOName = 'Disable-RC4-etype'
$basedn = ( [ADSI]"LDAP://RootDSE" ).defaultNamingContext.Value
#create New GPO
$GPO = New-GPO -Name $GPOName
Set-GPPrefRegistryValue -Name $GPOName -Action Update -Context Computer `
-Key 'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\kerberos\parameters' `
-Type DWord -ValueName 'supportedencryptiontypes' -Value 2147483640 | out-null