Problemes RC4 — aide et solution

Windows Client (10, 11, 12) Windows 11
,
1

Problemes RC4 — aide et solution

2

J’ai un dossier ouvert chez Microsoft. Cela devrait bientot devenir un probleme officiellement reconnu - ce n’est pas encore le cas.

En gros, dans un environnement DC mixte, Kerberos cessera completement de fonctionner (contre les anciens DC) pour les comptes au fur et a mesure qu’ils changent leurs mots de passe d’une “maniere specifique”. Voir ci-dessous.

Cela peut affecter n’importe quel compte - ordinateur, utilisateur, compte machine de controleur de domaine, peu importe - probablement meme krbtgt, auquel cas votre AD se casserait completement de maniere spectaculaire. Les gMSA sont egalement affectes et ne peuvent etre corriges qu’en les supprimant et en les recreant.

Les comptes d’ordinateurs sont simplement les premiers a casser puisqu’ils changent leurs mots de passe tous les 30 jours par defaut. Et, comme vous l’avez decouvert, ils peuvent “se reparer eux-memes” par des actions manuelles. Pour les utilisateurs standard, Kerberos est le seul protocole disponible pour les changements de mot de passe, donc quand Kerberos casse, les comptes utilisateurs seront effectivement bloques et ne peuvent etre repares que par des reinitialisations de mot de passe initiees par un administrateur.

De plus, les comptes d’ordinateurs peuvent etre repares sans avoir besoin d’identifiants en utilisant nltest /sc_change_pwd:domain.name.

> Est-ce que quelqu’un sait comment corriger cela ? Mettre a niveau les DC 2022 n’est pas une option et je ne peux pas non plus retirer les DC 2025.

Alors, mon frere en administration, vous etes peut-etre dans une impasse.

Il n’y a pas de correctif (actuellement, a ma connaissance), autre que de revenir a des DC entierement sous 2022 et de reinitialiser tous les mots de passe du domaine pour etre sur, ou de passer entierement a des DC 2025, auquel cas vous ne rencontrerez pas le probleme.

Meme si vous revenez entierement a 2022 maintenant, des comptes pourraient etre silencieusement casses et se briseront au prochain changement de mot de passe. Une reinitialisation de mot de passe pour chaque compte est donc necessaire.

> DefaultDomainSupportedEncTypes

Cela ne fonctionne pas non plus comme documente pour Server 2025 - la cle doit etre definie a HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters pour prendre effet.

Remarque : comme indique, cela n’est actuellement pas documente.

Vous pourriez essayer de jouer avec cela pour voir si cela fait une difference.

Quoi qu’il en soit, voici

(Reponse tronquee)