Jumat, 25 Februari 2011

Windows Server 2008 R2 Mengubah Authentication Karberos

Mandailing Natal - Windows Server 2008 R2 Mengubah Authentication Karberos - DES Tidak di enable secara default in Windows 7 dan Windows Server 2008 R2

Both DES cipher suites (DES-CBC-MD5 & DES-CBC-CRC) di disabled secara default pada Windows 7. Cipher suites berikut di aktifkan secara default pada Windows 7 dan Windows Server 2008 R2:

  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC
Mengenable type Encryption DES untuk karberos


Pada Windows 7 and Windows Server 2008 R2, kita harus konfigurasi komputer kita untuk menggunakanan DES-CBC-MD5 or DES-CBC-CRC cipher suites. Jika memerlukan DES enable pada komputer, settingan ini akan mempengaruhi kompatibilitas client dan service yang berjalan pada server.

Untuk Type configurasi yang di perbolehkan untuk Kerberos ada pada policy setting :

Computer Configuration\Security Settings\Local Policies\Security Options
ECC support in Kerberos for smart card logon

Di Windows 7 dan Windows Server 2008 R2, Kerberos supports elliptic curve cryptography (ECC) untuk smart card logon menggunakan certificate X.509 . Meskipun perubahan ini tidak tersedia untuk end users, mereka akan mendapatkan cryptography yang lebih kuat untuk smart card logons mereka.Tidak ada configurasi yang di perlukan untuk memperoleh ECC support di Kerberos. Bagaimanapun, smart cards mu dan readers(pembaca) harus support ECC.
Caranya:

Klik Start -> pilih Run -> ketik gpedit.msc

Klik Local Computer Policy -> Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Configure encryption types allowed for Kerberos ->Double klik Network security: Configure encryption types allowed for Kerberos -> Pilih DES_CBC_MDC dan RC4_HMAC_MD5 -> klik OK ->menu File -> Exit

Login sebagai administrator dan jalankan run 'gpedit.msc'.
(lihat policy "Network security: Configure encryption types allowed for Kerberos" once open)