Active Directory Migration

RC4 seit den April-Patches deaktiviert: Temporäre RC4-Freigabe für die NT-Hash-Migration

Microsoft reduziert die Verwendung von RC4 in Kerberos schrittweise, und viele Active-Directory-Umgebungen bewegen sich inzwischen in Richtung reiner AES-Authentifizierung. Das ist eine positive Sicherheitsverbesserung, kann aber bei Projekten zur Passwort- oder Kontomigration ein bestimmtes Kompatibilitätsproblem sichtbar machen.

Wenn nur der NT-Hash eines Benutzerpassworts migriert wird, verfügt das Zielkonto über das Anmeldematerial, das für RC4-kompatible Kerberos-Authentifizierung und NTLM-Authentifizierung erforderlich ist. AES-Kerberos-Schlüssel sind jedoch gesalzen und werden aus dem Klartextpasswort abgeleitet. Sie können nicht allein aus dem NT-Hash neu erstellt werden.

Aus diesem Grund können in Umgebungen, in denen RC4 deaktiviert ist, Authentifizierungsprobleme für migrierte Benutzer auftreten, wenn die Migration ausschließlich auf NT-Hash-Migration basiert. In diesem speziellen Szenario kann für die betroffenen migrierten Benutzerkonten eine temporäre und gezielte RC4-Freigabe erforderlich sein, bis ihre Passwörter geändert oder so synchronisiert wurden, dass gültige AES-Schlüssel in der Zieldomäne erstellt werden.

NT-Hashes sind sensibles Anmeldematerial. Die folgende Anleitung ist nur für kontrollierte Migrationskompatibilitätsfälle gedacht, in denen NT-Hash-Migration tatsächlich erforderlich ist. Sie ist keine allgemeine Sicherheitsempfehlung, keine breite Rücknahme von RC4-Einschränkungen und nicht für AES-only-Migrationspfade gedacht, die Passwortsynchronisierung statt NT-Hash-Migration verwenden. Falls Ihr Migrationsszenario einen Migrationspfad ausschließlich mit AES erfordert, lesen Sie bitte stattdessen den Blogbeitrag „Migrieren von Active Directory-Passwörtern mit deaktiviertem RC4 (Kerberos AES)“.

Wenn Ihr Migrationsplan NT-Hash-Migration erfordert, können Sie die unterstützten Kerberos-Verschlüsselungstypen des Zielbenutzers in einem Benutzer-Transformationsskript setzen:

Destination("msDS-SupportedEncryptionTypes")=60

Dezimal 60 entspricht hexadezimal 0x3C. Dieser Wert umfasst RC4-HMAC, AES128, AES256 und AES-Session-Key-Unterstützung. Praktisch bedeutet das: Das migrierte Konto kann im temporären NT-Hash-Kompatibilitätsszenario weiter funktionieren, ohne auf eine reine RC4-Konfiguration festgelegt zu werden. Mit diesem praktischen Encryption Type Calculator können Sie die Bitmaske der Verschlüsselungstypen visualisieren und sehen, welche Optionen aktiviert sind.

Verwenden Sie diese Einstellung nur als gezielte Migrationshilfe. Wenden Sie sie nur auf Benutzer oder Migrationswellen an, die tatsächlich NT-Hash-Migration benötigen, und dokumentieren Sie, warum die Ausnahme hinzugefügt wurde.

Diese Einstellung erstellt keine AES-Schlüssel für das Konto. Eine Passwortänderung, ein Passwort-Reset oder ein Passwortsynchronisierungsereignis ist weiterhin erforderlich, damit die Zieldomäne aktuelle, aus dem Passwort abgeleitete Kerberos-Schlüssel erhält.

Nach Abschluss des Kompatibilitätszeitraums sollten Sie die temporäre RC4-Freigabe entfernen oder das Konto auf die normale Kerberos-Verschlüsselungsbaseline Ihrer Organisation zurücksetzen. Eine Passwortänderung allein leert das Attribut msDS-SupportedEncryptionTypes nicht und entfernt auch nicht das RC4-Bit, wenn es explizit konfiguriert wurde.

Ein praktikables Vorgehensmodell ist:

  1. Identifizieren Sie die Benutzer oder Migrationswellen, die tatsächlich NT-Hash-Migration benötigen.
  2. Wenden Sie die Transformationsskript-Einstellung nur auf diese Benutzer an.
  3. Schließen Sie die Migration ab.
  4. Stellen Sie sicher, dass betroffene Benutzer eine Passwortänderung, einen Passwort-Reset oder ein Passwortsynchronisierungsereignis erhalten, das aktuelle Schlüssel in der Zieldomäne erstellt.
  5. Entfernen Sie die temporäre RC4-Freigabe oder stellen Sie die normale Verschlüsselungstyp-Baseline wieder her.
  6. Dokumentieren Sie die Ausnahme und die Bereinigung, damit die Kompatibilitätseinstellung nicht länger als erforderlich bestehen bleibt.

So bleibt der Migrationspfad verfügbar, ohne dass aus einer eng begrenzten Kompatibilitätsanforderung eine langfristige Sicherheitsausnahme wird.

Weitere produktspezifische Migrationsdetails finden Sie im Password Synchronization & Migration Add-On Administrator Guide. Wenn Sie nicht sicher sind, ob Ihre Umgebung diese Einstellung benötigt, wenden Sie sich an den Sys-Manage Support, bevor Sie Ihren Migrationsplan ändern. Wir können Ihnen helfen zu klären, ob das Problem damit zusammenhängt, dass RC4 für betroffene Active-Directory-/Kerberos-Konten deaktiviert ist, ob NT-Hash-Migration tatsächlich erforderlich ist, ob Passwortsynchronisierung der bessere Ansatz ist und welche Bereinigung nach der Migration geplant werden sollte.