Сверка с налоговой: как разобраться в выписке ٩(͡๏̯͡๏)۶
⚡ Все статьи / ⚡ Всё о налогах
Даша Черепанова
Чтобы не запутаться в том, сколько, когда и куда вы перечислили налоги, можно свериться с налоговой — заказать справку о состоянии расчётов или выписку операций по расчётам с бюджетом. А чтобы вы не заблудились в громоздких справке и выписке — мы подготовили статью с разбором обоих документов.
Содержание
- Справка о состоянии расчётов
- Выписка операций по расчётам с бюджетом
- Пример выписки по налогу УСН
- Пример выписки по страховым взносам за сотрудников
Для сверки с налоговой понадобятся два документа:
- Справка о состоянии расчётов показывает только долг или переплату по налогам и взносам на конкретную дату.
Но чтобы разобраться, откуда они появились, понадобится другой документ — выписка операций по расчётам с бюджетом. - Выписка операций по расчётам с бюджетом показывает историю платежей и начисленные налоги и взносы за выбранный период. По выписке вы поймёте, когда возникли долг или переплата, и выясните причину расхождений.
Но чтобы разобраться, откуда они появились, понадобится другой документ — выписка операций по расчётам с бюджетом.🎁
Проверьте историю платежей с Эльбой
Закажите справку и выписку из Эльбы без визита в налоговую.
30 дней бесплатно
Справка о состоянии расчётов
По справке о состоянии расчётов вы проверите, есть ли вообще долг или переплата.
Заказать справку в Эльбе
В первом столбце указано название налога, по которому вы сверяетесь. Информация о долгах и переплатах содержится в столбцах 4 — по налогу, 6 —по пеням, 8 — по штрафам:
- 0 — никто никому не должен, можно вздохнуть спокойно.
- Положительная сумма — у вас переплата.
- Сумма с минусом — вы должны налоговой.
Почему в справке возникает переплата?
- Вы действительно переплатили и теперь можете вернуть эти деньги из налоговой или зачесть как будущие платежи.
- Вы заказали справку до подачи годового отчёта по УСН. В этот момент налоговая ещё не знает, сколько вы должны заплатить. Она поймёт это из декларации за год. До сдачи декларации ежеквартальные авансы по УСН числятся как переплата, а потом налоговая начисляет налог и переплата пропадает. Поэтому переплата в размере авансов по УСН в течение года — ещё не повод бежать в налоговую за возвратом денег.
Если вы увидели в справке непонятные долги или переплаты, понадобится выписка операций по расчётам с бюджетом, чтобы выяснить причину их возникновения.
Выписка операций по расчётам с бюджетом
В отличие от справки выписка показывает не ситуацию на конкретную дату, а историю ваших отношений с налоговой за период. Например, с начала года до сегодняшнего дня.
Заказать выписку в Эльбе
Как увеличивались или уменьшались долги/переплаты видно в 13 столбце.
Положительное число — это переплата, отрицательное — задолженность.
В 13 столбце вы видите долг или переплату по конкретному платежу — только налогу, пене или штрафу. В 14 — общий итог по всем платежам. Ориентироваться лучше именно на 13.
Теперь разберёмся, как эти переплаты и долги формируются.
Данные в 10 столбце идут вам «в минус» — это начисления налоговой. А в 11 наоборот «в плюс» — это ваши оплаты. Строчка за строчкой они формируют итоговую сумму в 13 столбце.
!
Если у вас есть долг, первым делом, проверьте, все ли ваши платежи содержатся в выписке. Обнаружили, что платежей не хватает, хотя всё платили вовремя, — берите платёжки об уплате налога и несите в налоговую, чтобы разобраться.
Пример выписки по налогу УСН
Это выписка по налогу УСН. На начало года у предпринимателя была переплата, потом:
- В апреле он платит 6 996₽, итого переплата — 71 805₽.
- 3 мая подаёт декларацию и в выписке появляются начисления, которые уменьшают переплату: 71 805 – 4 017 – 28 062 – 8 190 = 31 536₽.
- Появляется операция с описанием «уменьшено по декларации». Это значит, что основные расходы предприниматель понёс в конце года, поэтому в течение года ему начислили слишком много налога. Теперь его нужно уменьшить, поэтому в выписке появляется «обратное» начисление на 10 995₽. Тот нечастый случай, когда декларация не добавляет обязательств, а наоборот.
- В июле он платит авансовый платёж за полугодие 2018 года и переплата на момент запроса выписки у него — 52 603₽.
Пример выписки по страховым взносам за сотрудников
Это выписка по страховым взносам за сотрудников на обязательное пенсионное страхование. На начало года у предпринимателя переплата на 3 497,14 ₽. Это взносы, которые он заплатил в 2017 году с зарплаты октября и ноября. Сумма стоит и в 11, и в 13 колонках. Потом:
- 9 января он платит 1 697,15 ₽ с декабрьской зарплаты, переплата увеличивается до 5 194,29 ₽ (3 497,14 + 1 697,15). Эту цифру мы видим в 13 столбце.
- 10 января он подаёт расчёт по страховым взносам (РСВ) и в выписке появляются начисления, которые уменьшают переплату до нуля: 5 194, 29 — 1 800 — 1 697,14 — 1 697,15 = 0. В 13 столбце вы тоже увидите ноль.
- Предприниматель заплатил за 4 квартал 2017 года ровно столько, сколько отразил в декларации. На 15 января у него нет ни долгов, ни переплат. В идеале так и должно быть.
Статья актуальна на
Продолжайте читать
УСН «Доходы минус расходы» в 2023 году: как отчитываться и сколько платить
КБК 2023 для уплаты фиксированных взносов ИП за себя
Страховые взносы ИП
Ещё больше полезного
Рассылка для бизнеса
Дайджест о законах, налогах, отчётах два раза в месяц
Успех! Мы выслали подтверждение на адрес указанной
вами электронной почты.
Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от группы компании СКБ Контур
Соцсети
Новости и видео — простыми словами, с заботой о бизнесе
Подготовка к сдаче 2- и 6-НДФЛ
Отчетность по НДФЛ заполняется в учетных системах «1С» автоматически – для этого необходимо отразить все доходы физических лиц, ввести данные по налоговым вычетам и рассчитать суммы исчисленного, удержанного и перечисленного налога. Однако для автоматического формирования отчетов 2- и 6-НДФЛ в программе важно учесть не только законодательные аспекты, но и особенности программы по формированию данных о суммах налога, чтобы обойтись без ручных корректировок. Рассмотрим подробнее особенности заполнения отчетности по НДФЛ в программе «1С:Зарплата и управление персоналом 8», ред.3.1.
- Заполнение титульного листа и раздела 1 в расчете 6-НДФЛ
- Раздел 2 расчета 6-НДФЛ
- Заполнение справки 2-НДФЛ для ИФНС
- Какими отчетами проверить отчетность по НДФЛ
Заполнение титульного листа и раздела 1 в расчете 6-НДФЛ
Данные титульного листа расчета заполняются из справочника «Организации».
Незаполненные ячейки со сведениями о налоговом агенте, которые не предусматривают ручного ввода означают, что в базе не введены соответствующие сведения. После добавления, например, в справочник «
Важно обратить внимание на поле «Дата подписи» на титульном листе. В этом поле указывается по умолчанию текущая дата компьютера на момент создания отчета, но в строке 080 раздела 1 сумма неудержанного налога в программе определяется как раз в соответствии с этой датой. Например, если дата подписи отчета 10.01.2020, а заработная плата за декабрь 2019 г. была выплачена 12.01.2020, то сумма удержанного налога в строке 080 расчета за 2019 г. отразится, если дату подписи проставить, например, 13.01.2020, то строка 080 будет незаполненной (Письмо ФНС РФ от 01.08.2016 № БС-4-11/13984@).
Строки 020-045 раздела 1 отчета 6-НДФЛ заполняются на дату фактического получения дохода. По ней определяется месяц налогового периода, в который включается доход. Например, дата фактического получения дохода с кодом 2000 (оплата труда) – это последний день месяца, за который начислен доход, а вот что касается отпускных (код дохода 2012) и больничных (код дохода 2300) – это дата выплаты.
Строка 060 заполняется общим количеством физических лиц, получивших в отчетном периоде налогооблагаемый доход. Строка 070 – общей суммой удержанного налога в отчетном периоде. Например, если зарплата за март 2020 г. выплачена в марте, то удержанный налог с зарплаты включается в строку 070 расчета за первый квартал 2020 г., если выплачена в апреле 2020 г., то удержанный налог попадет в расчет при сдаче отчетности за полугодие 2020 г. (Письмо ФНС РФ от 01.08.2016 № БС-4-11/13984@).
Некоторые данные ячеек в отчете можно расшифровывать с детализацией по сотрудникам и суммам по кнопке «
Раздел 2 расчета 6-НДФЛ
Одно из важнейших правил, которое следует учитывать при заполнении раздела 2 расчета 6-НДФЛ: отчет заполняется по сроку перечисления налога (согласно письмам ФНС от 09.08.2016 № ГД-4-11/14507 и от 24.10.2016 № БС-4-11/20120). Иными словами – операция включается в тот период, на отчетный квартал которого приходится срок перечисления удержанного налога (строка 120).
Строка 100 расчета заполняется с учетом положений ст. 223 НК РФ, соответственно, в программе для различных видов доходов дата фактического получения – это последний день месяца или дата выплаты, которые регистрируются, например, начислением заработной платы или ведомостью.
Что касается премий, то согласно письмам ФНС от 10.10.2017 № ГД-4-11/20374@, от 14.09.2017 № БС-4-11/18391, Минфина от 29.09.2017 № 03-04-07/63400 датой фактического получения дохода в виде ежемесячной премии с кодом 2002 является последний день месяца, за который она начислена, так как премия входит в систему оплаты труда.
Для этого в программе в виде начисления данной премии в самом коде дохода по НДФЛ необходимо установить флажок «Соответствует оплате труда» и выбрать категорию дохода – «Оплата труда».
Строка 110 – дата удержания налога — заполняется в соответствии с п. 4 ст. 226 НК РФ и п. 7 ст. 226.1 НК РФ. Дата удержания налога – это дата фактической выплаты, в программе удержание налога производится документами «Ведомость в банк/кассу/на счета». Дата удержания налога в учете будет отражаться датой, указанной в поле «Дата выплаты».
В строке 120 указывается дата, не позднее которой должна быть перечислена сумма налога (п. 6 ст. 226 НК РФ и п. 9 ст. 226.1 НК РФ). Например, если это отпускные, то срок перечисления до конца месяца, в котором они выплачивались, а для зарплаты – это следующий день после удержания налога. Если срок перечисления налога выпадает на выходной, то он переносится на следующий за ним рабочий день (п. 7 ст. 6.1 НК РФ и письмо ФНС РФ от 16.
05.2016 № БС-4-11/8568@). Таким образом, в строке реальная дата перечисления налога не отражается, а отражается предельный срок перечисления налога, который зависит от того, с каких доходов удержан НДФЛ. В программе при регистрации удержанного налога фиксируется автоматически предельный срок перечисления налога.
В строке 130 указываем обобщенную сумму фактически полученных доходов в указанную в строке 100 дату. Данная строка является справочной и не проверяется контрольными соотношениями (письмо ФНС от 10.03.2016 № БС-4-11/3852@), а в строке 140 отражаем обобщенную сумму удержанного налога на дату, указанную в строке 110.
Заполнение справки 2-НДФЛ для ИФНС
Принцип формирования данных в справке 2-НДФЛ такой же, как в 6-НДФЛ. Но важно обратить внимание на следующее: если заработную плату за декабрь 2019 г. работодатель перечисляет, например, в январе 2020 г., ее величина, а также сумма НДФЛ, исчисленного, удержанного и уплаченного с нее, должна быть отражена в справке 2-НДФЛ, составляемой по итогам 2019 г.
(письма ФНС РФ от 03.02.2012 № ЕД-4-3/1692@, № ЕД-4-3/1698@, от 12.01.2012 № ЕД-4-3/74).
На автоматическое заполнение справки 2-НДФЛ для передачи в ИФНС влияет дата документа: в отчет включаются суммы доходов и НДФЛ за соответствующий налоговый период, зарегистрированные до даты документа. Например, если удержание и перечисление НДФЛ за декабрь 2019 г. произведено 11.01.2020, то для того чтобы эти суммы отразились в отчетности за 2019 г., дата документа справки 2-НДФЛ для передачи в ИФНС должна быть большей или равной 11.01.2020.
Какими отчетами проверить отчетность по НДФЛ
Наиболее популярным является отчет «Сводная справка 2-НДФЛ» (раздел «Налоги и взносы» – «Отчеты по налогам и взносам»), в нем сумма колонки «начислено» соответствует строке 120 расчета 6-НДФЛ, помимо этого отчет показывает примененные вычеты, сумму НДФЛ в разрезе различных ставок.
«Проверка разд. 2 6-НДФЛ» – еще один популярный отчет.
Он показывает сведения раздела 2 6-НДФЛ в разрезе дат и документов, и сумм НДФЛ. Помимо этого в версии 3.1.8 появилась серия отчетов «Анализ НДФЛ по документам-основаниям /датам получения доходов/ по месяцам», позволяющих детальнее анализировать и расшифровывать суммы доходов и НДФЛ вплоть до документов, не затрагивая при этом регистры в программе.
Подпишись на рассылку от «ПБ», чтобы всегда сходился баланс :)
Новости, экспертные статьи, обучение.
Настоящим подтверждаю, что я ознакомлен с условиями политики конфиденциальности и даю и согласие на обработку персональных данных.*
Настоящим подтверждаю, что я даю согласие на получение рассылки
Средство восстановления данных DFL-DE было быстро обновлено, чтобы исправить расшифровку WD
Выпуски новостей
Клиенты по всему миру использовали средство восстановления данных DFL-DE почти месяц с момента его выпуска в начале сентября, и мы гордимся тем, что Dolphin Data Lab получила поддержку клиентов, отправив запрос на новые функции, и некоторые ошибки, которые могут возникнуть при использовании этого инструмента.
Один из наших клиентов тщательно протестировал и эффективно использовал наш инструмент восстановления данных DFL-DE для устранения некоторых распространенных сбоев жестких дисков и восстановления данных с неисправных жестких дисков.
Расшифровка WD – одно из основных распространенных решений по ремонту жестких дисков, которое мы интегрировали в средство восстановления данных DFL-DE, но когда клиенты использовали DFL-DE для расшифровки жестких дисков WD, некоторые пароли жестких дисков не могли быть обнаружены из-за незначительной ошибки и теперь мы быстро устранили эту ошибку и протестировали эту функцию расшифровки и решили выпустить эту новую версию DFL-DE — Версия 1.2.0.2.
Что касается шифрования WD, обычно существует два типа шифрования:
Шифрование прошивки
Data Encryption
Средство восстановления данных DFL-DE в основном предназначено для расшифровки западных цифровых жестких дисков, зашифрованных микропрограммой.
После этого обновления инструмент восстановления данных DFL-DE можно использовать для эффективного дешифрования жестких дисков WD, включая жесткие диски L-образной формы и серии ROYL.
Лаборатория данных Dolphin всегда готова выслушать клиентов и принять их предложения, а для срочного и важного ремонта жесткого диска и функций восстановления данных или ошибок мы в первый раз добавим или исправим и выпустим новую версию обновления. наших инструментов для ремонта жестких дисков и восстановления данных, поэтому всем клиентам вообще не нужно беспокоиться об использовании наших инструментов.
/от Stanley Morgan
Теги: общие сбои жесткого диска, средство восстановления данных, DFL-DE, обновление DFL-DE, ремонт жесткого диска, инструмент восстановления жесткого диска, WD Decryption https://www.dolphindatalab.com/wp-content/uploads/2011/10/dfl-de-data-recovery-tool-upgrade.
jpg
287
726 Стэнли Морган https://www.dolphindatalab.com/wp-content/uploads/2022/02/280_Dolphin-newest-logo.png Stanley Morgan2012-09-30 21:37:182013-04-22 11:28:48У инструмента восстановления данных DFL-DE было быстрое обновление, чтобы исправить расшифровку WDУниверсальные инструменты для восстановления данных и расширенные учебные курсы по восстановлению данных.
Связаться с нами
Чэнду Штаб-квартира: 1710, 888, TaoDu Ave., Longquanyi Dist., Чэнду, провинция Сычуань, Китай, 610100
QQ: 428306801
Телефон: 6 208-000 Skype
3.lab
3.lab -64737668
Электронная почта: [email protected]
© Copyright 2022 Лаборатория данных дельфинов. Все права защищены.
Уведомление о доставке в праздничные дни Национального дня Письмо от счастливого клиента о средстве восстановления прошивки жесткого диска DFL-WDII
Расшифровка выбора поддерживаемых типов шифрования Kerberos
шифрование билетов Kerberos.
Если бы мне пришлось угадывать базовый уровень CIS L1 и RFC 8429руководство по отключению RC4, вероятно, является причиной большей части этого интереса. Хотя RC4 официально не объявлен устаревшим в Active Directory, эволюция атаки, известной как Kerberoasting, дает вескую причину для обновления, поскольку шифрование RC4 использует слабый хэш NTLM в качестве ключа для шифрования. На сегодняшний день билеты, зашифрованные ключами AES, не подвержены Kerberoasting.
Как и в случае со многими параметрами защиты, решение об отказе от RC4 для шифрования билетов Kerberos не является окончательным. Давайте взглянем на соображения, а затем вы сможете решить, как вы хотите двигаться вперед, улучшая свою безопасность в этой области.
Сначала немного истории
Когда Active Directory впервые была представлена, DES и RC4 были в моде. Со временем вычислительные достижения позволили атаковать зашифрованные билеты DES методом грубой силы за короткий промежуток времени, а RFC 6649 призвал отказаться от DES.
Еще до того, как RFC 6649 был официально опубликован, Microsoft отключила (по умолчанию) DES в выпуске Server 2008 R2 Windows 7. Если вы поддерживали Active Directory в 2009 г., вы, скорее всего, даже не заметили, что DES был отключен вашими недавно обновленными контроллерами домена, потому что Active Directory предназначена для выбора самого высокого уровня шифрования, который поддерживается клиентом и целью билета Kerberos. Поддержка шифрования билетов AES была введена в выпуске Server 2008/Windows 7, но она не включалась автоматически для учетных записей домена, чтобы обеспечить обратную совместимость.
Kerberos 101 Обновление
Прежде чем мы углубимся в проблемы совместимости, мы должны убедиться, что наша терминология не является слишком общей. Вот краткое освежение.
Authenticator . Даже в Windows для рабочих групп (где мои люди из 3.11?) было нехорошо отправлять четкий пароль по сети.
Active Directory избегает этого, шифруя системное время производной версией пароля. На выходе этой функции создается то, что называется аутентификатором (то есть данными предварительной аутентификации). Когда контроллер домена получает аутентификатор, он ищет пароль учетной записи (также известный как долгосрочный ключ), расшифровывает аутентификатор и сравнивает результат со своим временем. Если временные метки совпадают в пределах 5 минут, он знает, что был использован правильный пароль, и что атака повторного воспроизведения очень маловероятна.
Ticket Granting Ticket (TGT) — Контроллер домена вернет TGT учетной записи после проверки аутентификатора. Внутри TGT находится SID учетной записи, SID групп учетной записи и сеансовый ключ , а также некоторые другие элементы безопасности. TGT читается контроллерами домена только из домена, в котором он был выдан. Чтобы сохранить конфиденциальность, TGT зашифрован паролем учетной записи домена KRBTGT .
В результате содержимое TGT не может быть прочитано клиентом.
Сеансовый ключ . Когда учетная запись получает TGT, она также получает копию сеансового ключа (симметричного). Чтобы сохранить ключ в безопасности при переходе по сети, он зашифрован паролем учетной записи. После расшифровки сеансовый ключ помещается в память LSA (локальный орган безопасности) вместе с TGT. В дальнейшем пароль учетной записи больше не требуется. Когда клиент делает последующие запросы билетов, он представляет TGT и создает новый аутентификатор, используя ключ сеанса и системную временную метку. Затем контроллер домена будет использовать пароль KRBTGT для расшифровки TGT, извлечения ключа сеанса, а затем расшифровки аутентификатора. Чтобы было ясно, каждый билет имеет уникальный ключ сеанса, и контроллер домена не пытается запомнить каждый ключ сеанса. Как только это будет сделано с сеансовым ключом, он откажется от него. Когда ему снова понадобится ключ, он повторит процесс его извлечения из представленного TGT.
Билет службы . Когда учетная запись хочет получить доступ к ресурсу, она запрашивает билет службы у контроллера домена, предоставляя имя ресурса, его копию TGT и аутентификатор, сгенерированный на основе сеансового ключа TGT. . Предполагая, что аутентификатор действителен, а запрошенное имя может быть сопоставлено с принципом безопасности, контроллер домена создаст запрошенный билет службы, скопировав идентификаторы SID учетной записи из TGT, новый ключ сеанса и зашифровав его с помощью полученного пароля безопасности. принцип. В некоторых случаях пароль будет паролем учетной записи компьютера. В других случаях это будет пароль служебной учетной записи, используемой для размещения ресурса. Как и в случае с TGT, клиент не сможет прочитать билет службы, и ему будет безопасно отправлена копия сеансового ключа для билета.
Реферальный билет . Когда пользователь пытается получить доступ к ресурсу в другом домене, необходимо получить билет службы от контроллера домена в домене ресурса.
Это достигается путем отправки запроса реферального билета на контроллер домена домена пользователя. Клиент предоставляет свой TGT, новый аутентификатор и полное доменное имя удаленного ресурса. Полное доменное имя сообщит контроллеру домена, в каком доверенном домене находится ресурс. Затем он создаст реферальный билет, который содержит SID пользователя и ключ сеанса. Затем реферальный билет шифруется с помощью ключа, полученного из пароля доверия домена, и возвращается клиенту. Клиент пересылает реферальный билет контроллеру домена в удаленном домене и запрашивает сервисный билет для ресурса. Если все верно, клиенту возвращается сервисный билет вместе с сеансовым ключом, связанным с этим билетом.
Собираем все вместе
Теперь, когда поток Kerberos свеж в нашей памяти, мы можем разобрать соображения по отключению RC4.
Тип шифрования аутентификатора . Иногда клиент включает аутентификатор с первоначальным запросом TGT (KRB_AS_REQ), и в этом случае он просто объявляет, какое шифрование он решил использовать на основе конфигурации ОС.
В других случаях клиент запросит TGT без предоставления аутентификатора, на который контроллер домена ответит сообщением KDC_ERR_PREAUTH_REQUIRED вместе со списком поддерживаемых им типов шифрования. В любом случае клиент и контроллер домена должны согласовать поддерживаемый тип шифрования. Как описано в этой статье, Server 2000, Server 2003 и XP не поддерживают ни одну из версий AES. Поэтому, если в вашем домене все еще есть эти устаревшие операционные системы, вы не готовы удалить поддержку RC4 со своих контроллеров домена.
Тип шифрования TGT . Как упоминалось ранее, TGT читается только контроллерами домена в домене-издателе. В результате тип шифрования TGT должен поддерживаться только контроллерами домена. Как только ваш функциональный уровень домена (DFL) станет 2008 или выше, ваша учетная запись KRBTGT всегда будет по умолчанию использовать шифрование AES. Для всех других типов учетных записей (пользователя и компьютера) выбранный тип шифрования определяется параметром msDS-SupportedEncryptionTypes 9.
Атрибут 0012 в учетной записи. Вы можете изменить атрибут напрямую или включить AES, установив флажки на вкладке «Учетная запись».
Атрибут msDS-SupportedEncryptionTypes использует одно шестнадцатеричное значение для определения поддерживаемых типов шифрования. Вы можете рассчитать значение на основе этого сообщения в блоге или использовать следующее кольцо декодера:
Десятичное значение | Шестнадцатеричное значение | Поддерживаемые типы шифрования |
0 | 0x0 | Не определено — по умолчанию RC4_HMAC_MD5 |
1 | 0x1 | DES_CBC_CRC |
2 | 0x2 | DES_CBC_MD5 |
3 | 0x3 | DES_CBC_CRC, DES_CBC_MD5 |
4 | 0x4 | RC4 |
5 | 0x5 | DES_CBC_CRC, RC4 |
6 | 0x6 | DES_CBC_MD5, RC4 |
7 | 0x7 | DES_CBC_CRC, DES_CBC_MD5, RC4 |
8 | 0x8 | АЕС 128 |
9 | 0x9 | DES_CBC_CRC, AES 128 |
10 | 0xА | DES_CBC_MD5, АЕС 128 |
11 | 0xB | DES_CBC_CRC, DES_CBC_MD5, AES 128 |
12 | 0xC | RC4, АЕС 128 |
13 | 0xD | DES_CBC_CRC, RC4, AES 128 |
14 | 0xЕ | DES_CBC_MD5, RC4, AES 128 |
15 | 0xF | DES_CBC_CBC, DES_CBC_MD5, RC4, AES 128 |
16 | 0x10 | АЕС 256 |
17 | 0x11 | DES_CBC_CRC, AES 256 |
18 | 0x12 | DES_CBC_MD5, АЕС 256 |
19 | 0x13 | DES_CBC_CRC, DES_CBC_MD5, AES 256 |
20 | 0x14 | RC4, АЕС 256 |
21 | 0x15 | DES_CBC_CRC, RC4, AES 256 |
22 | 0x16 | DES_CBC_MD5, RC4, AES 256 |
23 | 0x17 | DES_CBC_CRC, DES_CBC_MD5, RC4, AES 256 |
24 | 0x18 | АЕС 128, АЕС 256 |
25 | 0x19 | DES_CBC_CRC, AES 128, AES 256 |
26 | 0x1A | DES_CBC_MD5, АЕС 128, АЕС 256 |
27 | 0x1B | DES_CBC_MD5, DES_CBC_MD5, AES 128, AES 256 |
28 | 0x1C | RC4, АЕС 128, АЕС 256 |
29 | 0x1D | DES_CBC_CRC, RC4, AES 128, AES 256 |
30 | 0x1E | DES_CBC_MD5, RC4, AES 128, AES 256 |
31 | 0x1F | DES+A1:C33_CBC_MD5, DES_CBC_MD5, RC4, AES 128, AES 256 |
Если вы включите AES в учетной записи KRBTGT и обнаружите, что ваши TGT по-прежнему выдаются с шифрованием RC4, вам может потребоваться вручную сбросить пароль учетной записи KRBTGT.
Это связано с тем, что пароль KRBTGT не меняется автоматически. В результате текущий пароль мог быть установлен еще в 2003 году, когда генерация ключей AES не поддерживалась. Если вам нужно обновить свой пароль, я рекомендую вам использовать этот скрипт. Фактически, рекомендуется сбросить его во второй раз после ожидания не менее 10 часов (время жизни TGT по умолчанию), чтобы в атрибуте истории паролей был ключ AES.
Тип шифрования сеансового ключа — тип шифрования, поддерживаемый клиентом, аналогичен типу шифрования аутентификатора в том смысле, что он зависит от конфигурации клиентской ОС и объявляется во время запроса билета (KRB_AS_REQ). Ключ сеанса, выбранный для TGT, должен быть совместим с клиентом и контроллерами домена выдающего домена. Ключ сеанса, выбранный для билета службы, должен быть совместим с клиентом и сервером, на котором размещается ресурс. При выборе совместимого сеансового ключа KDC оценит запрос клиента и Атрибут msDS-SupportedEncryptionTypes целевой учетной записи.
Тип шифрования билета службы — при запросе билета службы контроллер домена выберет тип шифрования билета на основе атрибута msDS-SupportedEncryptionTypes учетной записи, связанной с запрошенным SPN. Как упоминалось ранее, это может быть объект компьютера или учетная запись службы, используемая для размещения ресурса в сети. Если значение атрибута не определено, контроллер домена зашифрует билет с помощью RC4 для обеспечения совместимости. По умолчанию для учетных записей пользователей не установлено значение, поэтому, если вы не включили для них AES вручную, билеты для учетных записей служб будут зашифрованы с помощью RC4. Для компьютерных объектов вы можете напрямую обновить msDS-SupportedEncryptionTypes или применить объект групповой политики для определения поддерживаемых типов шифрования. Как только компьютер обработает эту политику, он обновит атрибут своего собственного объекта-компьютера.
Тип шифрования реферального билета — шифрование, используемое для реферального билета и ключа сеанса, определяется свойствами доверия и типами шифрования, поддерживаемыми клиентом.
Если вы выберете Другой домен поддерживает шифрование AES , реферальные билеты будут выданы с помощью AES. В противном случае реферальный билет будет зашифрован с помощью RC4. По умолчанию для трастов (включая трасты между лесами) не включена поддержка AES. При принятии решения о включении AES для доверенных лиц имейте в виду, что клиент не читает содержимое реферального билета, но ему требуется общий тип шифрования сеансового ключа. Если вы планируете отключить RC4 из-за доверия, сначала просмотрите KB4492348. Как указано в блоге Даниэля, включение AES с графическим интерфейсом Active Directory Domains and Trusts отключит RC4 в доверии, но с использованием ksetup позволит вам добавить поддержку AES без отключения RC4.
Аудит типа шифрования
В моей роли старшего инженера по работе с клиентами я считаю, что страх неизвестности является основной причиной, по которой рекомендации по усилению безопасности не принимаются.
Дальнейшее внедрение AES для Kerberos потребует анализа, и одним из лучших входных данных для этой оценки являются 4769 событий из журнала безопасности контроллера домена, которые показывают тип шифрования (поле «Тип шифрования билета») выпущенных билетов службы. Событие 4768 покажет ту же информацию для выпущенных TGT. Если вы можете позволить себе роскошь централизованного сбора и анализа журналов, вы сможете быстро разобраться с типами шифрования билетов. Без такого решения вы столкнетесь с трудной задачей. В таблице ниже значения в событиях сопоставляются с типом шифрования выпущенных билетов.
Тип Значение | Используемый тип шифрования |
0x1 | DES-CBC-CRC |
0x3 | DES-CBC-MD5 |
0x11 | AES128-CTS-HMAC-SHA1-96 |
0x12 | AES256-CTS-HMAC-SHA1-96 |
0x17 | RC4-HMAC |
0x18 | RC4-HMAC-EXP |
Событие с идентификатором 16 также может быть полезно при возникновении проблемных ситуаций, когда запрос билета службы не прошел из-за того, что у учетной записи не было ключа AES.
Что можно и что нельзя делать при отключении RC4 для типов шифрования Kerberos
Много информации по сложной теме. Вот краткий обзор, который поможет вам определить свой следующий шаг.
- Не отключайте RC4 в своем домене без тщательной оценки, если вы недавно не обновляли свое резюме.
- Не путайте эту информацию с инструкциями и настройками по отключению RC4 для TLS\SSL (Schannel). См. этот блог MSRC, если вам все еще нужно отключить RC4 в TLS.
- Не ждите , пока вас отключат RC4. Убедитесь, что AES полностью включен на ваших компьютерах, учетных записях и трастах. Как только это будет сделано, используйте центральный сбор журналов и проанализируйте свои события 4769, чтобы определить, выдаются ли все еще билеты RC4 .
- Включить AES для учетных записей служб, для которых задано имя участника-службы. Имейте в виду, что нулевое значение для msDS-SupportedEncryptionTypes заставит контроллер домена выдавать билеты службы и сеансовые ключи с RC4 9.0780
- Выполните дважды сброс паролей учетных записей служб для учетных записей, не имеющих ключей AES. Пароли, установленные до 2008 года, не имеют ключей AES. Совет для профессионалов. Дата создания группы домена Контроллеры домена только для чтения сообщит вам, когда в вашем домене был повышен уровень первого контроллера домена новее 2003 года. Используя PowerShell, найдите в своем домене учетные записи пользователей с набором SPN, у которых pwdLastSet старше, чем когда была создана ваша группа Контроллеры домена только для чтения
- Сделайте , подтвердите, что ваши TGT зашифрованы с помощью AES. Если они все еще выдаются с RC4, проверьте атрибут pwdLastSet в учетной записи KRBTGT и определите, является ли он более новым, чем дата создания вашей группы контроллеров домена только для чтения .
- Должен ли понимать, что Kerberoasting упрощает для злоумышленника определение паролей ваших слабых учетных записей служб при выдаче служебного билета, зашифрованного с помощью RC4. Отдавайте приоритет своим привилегированным учетным записям служб при установке надежных паролей и включении AES для шифрования билетов. Kerberoasting может выполняться в автономном режиме после получения билета службы, поэтому в этой области нельзя полагаться на ваше решение EDR.
- Не забывайте об исправлении файлов KeyTab. При включении AES для учетной записи службы, используемой с существующим файлом KeyTab, может потребоваться создание нового файла. К сожалению, во многих организациях нет достаточного количества выпущенных файлов KeyTab, поэтому их исправление может оказаться сложной задачей .
- Сделать узнать, как использовать klist для просмотра типа шифрования, используемого для билетов и сеансовых ключей. Если у вас включен UAC, вы увидите разные результаты в зависимости от того, запустили ли вы командную строку с повышенными правами. Это потому, что технически у вас две сессии, что означает два разных набора билетов. Если вы хотите просматривать билеты, выданные системе, а не вашей учетной записи, запустите klist –li 0x3e7 из командной строки с повышенными привилегиями.
- Do Помните, что шифрование билета должно быть совместимо только с учетной записью, открывающей билет. Выбранный сеансовый ключ должен быть совместим с обеими сторонами соединения.
- Вывести из эксплуатации устаревшие операционные системы (Server 2003 и старше), которые несовместимы с зашифрованными билетами AES
- Сделайте просмотрите эти другие блоги по этой теме, которые отлично объясняют согласование типа шифрования, которое вы увидите при захвате сети
- https://docs.microsoft.com/en-us/archive/blogs/openspecification/encryption-type-selection-in-kerber.
- https://docs.microsoft.com/en-us/archive/blogs/openspecification/encryption-type-selection-in-kerber.
Имейте в виду, что нулевое значение для msDS-SupportedEncryptionTypes заставит контроллер домена выдавать билеты службы и сеансовые ключи с RC4 9.0780
Если у вас включен UAC, вы увидите разные результаты в зависимости от того, запустили ли вы командную строку с повышенными правами. Это потому, что технически у вас две сессии, что означает два разных набора билетов. Если вы хотите просматривать билеты, выданные системе, а не вашей учетной записи, запустите klist –li 0x3e7 из командной строки с повышенными привилегиями.