C#, Kerberos - Domain.GetDomain - 使用 RC4 的 TGS

【问题标题】:C#, Kerberos - Domain.GetDomain - TGS making use of RC4C#, Kerberos - Domain.GetDomain - 使用 RC4 的 TGS
【发布时间】:2016-07-04 16:44:00
【问题描述】:

我正在用 C# 编写一个与 AD 相关的应用程序。

当我执行以下操作时,

DirectoryContext context = new DirectoryContext(DirectoryContextType.Domain, "Domain.com");
Domain domain = Domain.GetDomain(context);

域控制器上的 Kerberos 服务票证日志显示“票证加密”类型为 0x17,即 RC4。域和林功能级别为 Windows Server 2012。

我使用 WireShark 来获取一些详细信息。 TGS 请求数据包显示 AES256、AES128、RC4、DES 作为支持的加密类型。 TGS 回复包显示该票证的加密类型为 RC4。

如果我设置组策略以限制使用 AES 128 和 256,则回复将使用 AES 256。

我的问题:如果请求数据包显示它支持 AES 256,那么回复不应该是相同的,即最安全的加密吗? 这是一个已知问题还是我遗漏了什么?

PS 如果有什么不同,我在项目设置中尝试了使用 .net Framework 4.0、4.5、4.6 的此应用程序。所有这些都使用了 RC4。

感谢您的帮助!

【问题讨论】:

  • 可能是它选择了兼容性而不是票证的安全性。

标签: c# encryption aes kerberos


【解决方案1】:

TGS 的回复将具有共享密钥中指定的最安全的加密类型(域控制器知道它添加到服务/服务器的密钥表中的加密类型)。

【讨论】:

    猜你喜欢
    • 2011-08-11
    • 1970-01-01
    • 1970-01-01
    • 2015-02-09
    • 1970-01-01
    • 1970-01-01
    • 2020-12-12
    • 2015-10-30
    • 2015-07-21
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode