У меня есть несколько физических и виртуальных серверов в домене компании. Физические и виртуальные серверы - все еще Windows 2008 R2. Все клиенты были обновлены до Windows 10 с Windows 7 за последние пару недель.
Чтобы удовлетворить требования STIG, владельцы Active Directory внедрили GPO во все устройства Windows 10, которые отключили шифрование RC4 и теперь разрешают только AES 128/256. Они не отправляли подобные объекты групповой политики на мои машины Server 2008 R2.
Теперь наши сотрудники не могут подключаться по протоколу RDP к серверу для выполнения рутинных задач.
Когда я спросил наш ИТ-отдел, как решить эту проблему, они сказали, что мне нужно отключить RC4 и включить AES 128/256 или любые «будущие типы шифрования». Однако я никогда раньше не сталкивался с этим. Где и как отключить RC4 и включить AES, чтобы восстановить функциональность RDP?
Попробуйте установить в объекте Active Directory каждого пользователя / компьютера для атрибута LDAP msDS-SupportedEncryptionType значение 8 (= только 128-битный AES) или 24 (= 8 + 16 = 128 и 256-битный AES). В графическом интерфейсе пользователей и компьютеров Active Directory это соответствует установке на вкладке «Учетная запись» флажков «Эта учетная запись поддерживает шифрование Kerberos 128/256», хотя вы также не можете легко отключить RC4 и там.
Два примечания по выбору типов шифрования:
Смотрите также: https://blogs.msdn.microsoft.com/openspecification/2011/05/30/windows-configurations-for-kerberos-supported-encryption-type/
Есть патч от Microsoft: https://support.microsoft.com/en-us/kb/3080079