НДФЛ: расшифровка аббревиатуры
Все налогоплательщики рано или поздно задумываются о том, какая у НДФЛ расшифровка. Она поможет понять, что за платеж перед нами. Дело в том, что если вы не знаете истинного значения аббревиатуры, то и понять, за что конкретно происходит перечисление денежных средств в казну государства, трудно. Точнее, невозможно. Налоговые вопросы сами по себе крайне важны. Особенно если вы не знаете, с каким конкретно налогом имеете дело. Может быть, уплачивать его вам и не нужно вовсе? Достаточно знать, как правильно расшифровать НДФЛ, чтобы разобраться в данном вопросе.
Что это
В действительности, все предельно легко и просто. НДФЛ расшифровывается как «налог на доходы физических лиц». И получается, что данная расшифровка как раз характеризует наш сегодняшний платеж. Кто именно его платит? Физические лица. С чего они его перечисляют? С доходов.
У НДФЛ расшифровка, как видите, очень простая. И запомнить ее просто, и общее представление о нашем сегодняшнем платеже откладывается в мозгу без проблем.
Налоги на доходы физических лиц — обязательные перечисления от налогоплательщиков. От них скрыться никому не удастся. Только в исключительных случаях. Что можно сказать об этом налоге, если конкретизировать его? Какие знания могут пригодиться налогоплательщикам?
Кто платит
Вот мы и познакомились с определением термина НДФЛ. Как расшифровать данную аббревиатуру? Налог на доходы физических лиц. Именно так звучит название этого платежа. Но кто обязан его выплачивать?
Как уже было сказано, все налогоплательщики. Но если точнее, то только те, у кого есть облагаемый налогами доход. Можно сказать, любые граждане, которые зарабатывают деньги. И не имеет значения, каким образом — от сдачи недвижимости, или ее реализации, или от официального трудоустройства. Если у вас есть какой-то доход, то и налог с него вы будете платить в обязательном порядке, без исключений.
У НДФЛ расшифровка также может включать в себя определение подоходного налога. Это одно и то же. Подразумевается выплата денежных средств в определенном размере, которые числятся в виде вашей прибыли.
Можно сказать, что работающий человек уплачивает НДФЛ, а домохозяйки и безработные — нет. Исключений не бывает. Есть лишь небольшой список случаев, которые не требуют уплаты налога после получения денег.
Не платить
Вот мы и разобрались в том, как расшифровывается НДФЛ. Но только теперь хотелось бы понять, какой доход этим платежом не облагается. Ведь бывают исключения. Их не так много, но они имеют место.
Например, подоходный налог не платят с подарков от близких родственников. То есть, если кто-то дарит вам деньги/недвижимость или составляет дарственную, являясь при этом близкой родней, никакие взносы не нужны. В противном случае придется отдать положенные проценты. Кстати, физические лица должны отдавать 13 % от своей прибыли. Вот такие интересные правила в России.
Кроме того, наследство от близких родственников, а также прибыль от реализации имущества, находящегося в собственности более 3 лет не облагается подоходным налогом. Точнее, речь идет о продаже. Если вы сдаете недвижимость в аренду, придется платить с нее налоги.
Больше никаких исключений нет.
Сколько
У НДФЛ расшифровка предельно проста. Мы имеем дело с налогом на доходы физических лиц. Только вот есть один очень интересный момент — уплата оного. Уже было сказано, что НДФЛ платится в размере 13 % от полученных денежных средств. Но бывают и исключения. Кроме того, порядок и сроки выплат установлены в российском законодательстве. И их придется соблюдать.
Например, особенность нашего сегодняшнего платежа — это размер оного при тех или иных обстоятельствах. Вообще, НДФЛ составляет 13 %. Но если речь идет о кладе, например, или выигрыше, придется отдать государству 35 %. И на этом сюрпризы не заканчиваются.
Иностранные граждане тоже платят НДФЛ. Им в этом плане повезло меньше. Если у иностранного гражданина есть доход на территории РФ, придется уплатить с него целых 30 %. И ничуть не меньше. Довольно много, если задуматься. Но такие правила действуют в стране. Исключений нет и быть не может.
Порядок и сроки
Теперь нам известно, что такое НДФЛ (расшифровка аббревиатуры была дана выше).
А каков порядок уплаты нашего сегодняшнего платежа? Есть ли какие-то ограничения и сроки? Разумеется, они имеют место.
О чем идет речь? Подоходный налог, как правило, декларируется. Точнее, вы подаете в налоговые органы декларации о своих доходах. Нужно сделать это до 30 апреля. Причем отчет будет за предыдущий год (например, в 2013-м вы отчитываетесь за 2012-й). Сроки уплаты НДФЛ тоже имеют место. Физические лица должны разделаться с платежом до 15 июля. Но чаще всего платят авансом.
Что это значит? Авансовый платеж делается вместе с подачей налоговой декларации — до 30 апреля. Очень популярный прием, который используется многими. Можно просто один раз разделаться с вашими долгами и спать спокойно. Но и торопиться не стоит. Если нет возможности сделать авансовый платеж, вы имеете право подождать до 15 июля включительно. Дальше будет числиться долг.
Вычеты
У НДФЛ расшифровка предельно проста. Но нельзя сказать, что в некоторых случаях налогоплательщики могут получить налоговый вычет.
То есть вернуть с осуществленной сделки 13 %. Распространяется такая возможность только на тех, кто платит подоходный налог.
Вы можете вернуть себе денежные средства за сделки с недвижимостью (в том числе за ипотеку), а также за лечение, обучение и приобретение каких-либо товаров. Если имеются несовершеннолетние дети, за вами есть право на специальный вычет. Он называется «На детей». За счет него налоговая база, с которой вы платите НДФЛ, уменьшается. Очень полезная вещь.
Все вычеты оформляются в налоговых органах при наличии заявления, доказательств трат, доходов, облагаемых налогами подоходными, а также прочими важными документами. Сюда относят: ИНН, СНИЛС, свидетельства о браке/разводе/рождении детей, аккредитации и лицензии, свидетельства о праве собственности на что-либо. Декларация тоже подается в обязательном порядке. Так что запомните: если вы платите НДФЛ, можете в некоторых случаях оформить себе налоговый вычет. Это не так уж и трудно на самом деле!
Сверка с налоговой: как разобраться в выписке ٩(͡๏̯͡๏)۶
⚡ Все статьи / ⚡ Всё о налогах
Даша Черепанова
Чтобы не запутаться в том, сколько, когда и куда вы перечислили налоги, можно свериться с налоговой — заказать справку о состоянии расчётов или выписку операций по расчётам с бюджетом.
А чтобы вы не заблудились в громоздких справке и выписке — мы подготовили статью с разбором обоих документов.
Содержание
- Справка о состоянии расчётов
- Выписка операций по расчётам с бюджетом
- Пример выписки по налогу УСН
- Пример выписки по страховым взносам за сотрудников
Для сверки с налоговой понадобятся два документа:
- Справка о состоянии расчётов показывает только долг или переплату по налогам и взносам на конкретную дату. Но чтобы разобраться, откуда они появились, понадобится другой документ — выписка операций по расчётам с бюджетом.
- Выписка операций по расчётам с бюджетом показывает историю платежей и начисленные налоги и взносы за выбранный период.
🎁
Проверьте историю платежей с Эльбой
Закажите справку и выписку из Эльбы без визита в налоговую.
30 дней бесплатно
Справка о состоянии расчётов
По справке о состоянии расчётов вы проверите, есть ли вообще долг или переплата.
Заказать справку в Эльбе
В первом столбце указано название налога, по которому вы сверяетесь. Информация о долгах и переплатах содержится в столбцах 4 — по налогу, 6 —по пеням, 8 — по штрафам:
- 0 — никто никому не должен, можно вздохнуть спокойно.
- Положительная сумма — у вас переплата.
- Сумма с минусом — вы должны налоговой.
Почему в справке возникает переплата?
- Вы действительно переплатили и теперь можете вернуть эти деньги из налоговой или зачесть как будущие платежи.
- Вы заказали справку до подачи годового отчёта по УСН. В этот момент налоговая ещё не знает, сколько вы должны заплатить. Она поймёт это из декларации за год. До сдачи декларации ежеквартальные авансы по УСН числятся как переплата, а потом налоговая начисляет налог и переплата пропадает. Поэтому переплата в размере авансов по УСН в течение года — ещё не повод бежать в налоговую за возвратом денег.
В этот момент налоговая ещё не знает, сколько вы должны заплатить. Она поймёт это из декларации за год. До сдачи декларации ежеквартальные авансы по УСН числятся как переплата, а потом налоговая начисляет налог и переплата пропадает. Поэтому переплата в размере авансов по УСН в течение года — ещё не повод бежать в налоговую за возвратом денег.Если вы увидели в справке непонятные долги или переплаты, понадобится выписка операций по расчётам с бюджетом, чтобы выяснить причину их возникновения.
Выписка операций по расчётам с бюджетом
В отличие от справки выписка показывает не ситуацию на конкретную дату, а историю ваших отношений с налоговой за период. Например, с начала года до сегодняшнего дня.
Заказать выписку в Эльбе
Как увеличивались или уменьшались долги/переплаты видно в 13 столбце. Положительное число — это переплата, отрицательное — задолженность.
В 13 столбце вы видите долг или переплату по конкретному платежу — только налогу, пене или штрафу.
В 14 — общий итог по всем платежам. Ориентироваться лучше именно на 13.
Теперь разберёмся, как эти переплаты и долги формируются.
Данные в 10 столбце идут вам «в минус» — это начисления налоговой. А в 11 наоборот «в плюс» — это ваши оплаты. Строчка за строчкой они формируют итоговую сумму в 13 столбце.
!
Если у вас есть долг, первым делом, проверьте, все ли ваши платежи содержатся в выписке. Обнаружили, что платежей не хватает, хотя всё платили вовремя, — берите платёжки об уплате налога и несите в налоговую, чтобы разобраться.
Пример выписки по налогу УСН
Это выписка по налогу УСН. На начало года у предпринимателя была переплата, потом:
- В апреле он платит 6 996₽, итого переплата — 71 805₽.
- 3 мая подаёт декларацию и в выписке появляются начисления, которые уменьшают переплату: 71 805 – 4 017 – 28 062 – 8 190 = 31 536₽.
- Появляется операция с описанием «уменьшено по декларации». Это значит, что основные расходы предприниматель понёс в конце года, поэтому в течение года ему начислили слишком много налога.
- В июле он платит авансовый платёж за полугодие 2018 года и переплата на момент запроса выписки у него — 52 603₽.
Пример выписки по страховым взносам за сотрудников
Это выписка по страховым взносам за сотрудников на обязательное пенсионное страхование. На начало года у предпринимателя переплата на 3 497,14 ₽. Это взносы, которые он заплатил в 2017 году с зарплаты октября и ноября. Сумма стоит и в 11, и в 13 колонках. Потом:
- 9 января он платит 1 697,15 ₽ с декабрьской зарплаты, переплата увеличивается до 5 194,29 ₽ (3 497,14 + 1 697,15). Эту цифру мы видим в 13 столбце.
- 10 января он подаёт расчёт по страховым взносам (РСВ) и в выписке появляются начисления, которые уменьшают переплату до нуля: 5 194, 29 — 1 800 — 1 697,14 — 1 697,15 = 0. В 13 столбце вы тоже увидите ноль.
- Предприниматель заплатил за 4 квартал 2017 года ровно столько, сколько отразил в декларации. На 15 января у него нет ни долгов, ни переплат. В идеале так и должно быть.
Статья актуальна на
Продолжайте читать
Все статьи
ОКТМО: что это такое и где его взять
Бизнес оштрафовали из-за ошибки работника: можно ли с него спросить компенсацию
Когда пропадает право на ПСН, если патентов несколько
Ещё больше полезного
Рассылка для бизнеса
Соцсети
Новости и видео — простыми словами, с заботой о бизнесе
Средство восстановления данных DFL-DE было быстро обновлено, чтобы исправить расшифровку WD
Выпуски новостей
Клиенты по всему миру использовали средство восстановления данных DFL-DE почти месяц с момента его выпуска в начале сентября, и мы гордимся тем, что Dolphin Data Lab получила поддержку клиентов, отправив запрос на новые функции, и некоторые ошибки, которые могут возникнуть при использовании этого инструмента.
Один из наших клиентов тщательно протестировал и эффективно использовал наш инструмент восстановления данных DFL-DE для устранения некоторых распространенных сбоев жестких дисков и восстановления данных с неисправных жестких дисков.
Расшифровка WD – одно из основных распространенных решений по ремонту жестких дисков, которое мы интегрировали в средство восстановления данных DFL-DE, но когда клиенты использовали DFL-DE для расшифровки жестких дисков WD, некоторые пароли жестких дисков не могли быть обнаружены из-за незначительной ошибки и теперь мы быстро устранили эту ошибку и протестировали эту функцию расшифровки и решили выпустить эту новую версию DFL-DE — Версия 1.2.0.2.
Что касается шифрования WD, обычно существует два типа шифрования:
Шифрование прошивки
Data Encryption
Средство восстановления данных DFL-DE в основном предназначено для расшифровки западных цифровых жестких дисков, зашифрованных микропрограммой.
После этого обновления инструмент восстановления данных DFL-DE можно использовать для эффективного дешифрования жестких дисков WD, включая жесткие диски L-образной формы и серии ROYL.
Лаборатория данных Dolphin всегда готова выслушать клиентов и принять их предложения, а для срочного и важного ремонта жесткого диска и функций восстановления данных или ошибок мы в первый раз добавим или исправим и выпустим новую версию обновления. наших инструментов для ремонта жестких дисков и восстановления данных, поэтому всем клиентам вообще не нужно беспокоиться об использовании наших инструментов.
/от Стэнли Морган
Теги: общие сбои жесткого диска, инструмент восстановления данных, DFL-DE, обновление DFL-DE, ремонт жесткого диска, инструмент восстановления жесткого диска, WD Decryption https://www.dolphindatalab.com/wp-content/uploads/2011/10/dfl-de-data-recovery-tool-upgrade.
Универсальные инструменты для восстановления данных и расширенные учебные курсы по восстановлению данных.
Связаться с нами
Чэнду Штаб-квартира: 1710, 888, TaoDu Ave., Longquanyi Dist., Чэнду, провинция Сычуань, Китай, 610100
QQ: 428306801
Телефон: 6 208-000 Skype
3.lab
3.lab -64737668
Электронная почта: [email protected]
© Copyright 2022 Лаборатория данных дельфинов. Все права защищены.
Уведомление о доставке к празднику Национального дня Письмо от счастливого клиента о средстве восстановления прошивки жесткого диска DFL-WDII
Расшифровка выбора поддерживаемых типов шифрования Kerberos
шифрование билетов Kerberos.
Если бы мне пришлось угадывать базовый уровень CIS L1 и RFC 8429руководство по отключению RC4, вероятно, является причиной большей части этого интереса. Хотя RC4 официально не объявлен устаревшим в Active Directory, эволюция атаки, известной как Kerberoasting, дает вескую причину для обновления, поскольку шифрование RC4 использует слабый хэш NTLM в качестве ключа для шифрования. На сегодняшний день билеты, зашифрованные ключами AES, не подвержены Kerberoasting.
Как и в случае со многими параметрами защиты, решение об отказе от RC4 для шифрования билетов Kerberos не является окончательным. Давайте взглянем на соображения, а затем вы сможете решить, как вы хотите двигаться вперед, улучшая свою безопасность в этой области.
Сначала немного истории
Когда Active Directory впервые была представлена, DES и RC4 были в моде. Со временем вычислительные достижения позволили атаковать зашифрованные билеты DES методом грубой силы за короткий промежуток времени, а RFC 6649 призвал отказаться от DES.
Еще до того, как RFC 6649 был официально опубликован, Microsoft отключила (по умолчанию) DES в выпуске Server 2008 R2 Windows 7. Если вы поддерживали Active Directory в 2009 г., вы, скорее всего, даже не заметили, что DES был отключен вашими недавно обновленными контроллерами домена, потому что Active Directory предназначена для выбора самого высокого уровня шифрования, который поддерживается клиентом и целью билета Kerberos. Поддержка шифрования билетов AES была введена в выпуске Server 2008/Windows 7, но она не включалась автоматически для учетных записей домена, чтобы обеспечить обратную совместимость.
Kerberos 101 Обновление
Прежде чем мы углубимся в проблемы совместимости, мы должны убедиться, что наша терминология не является слишком общей. Вот краткое освежение.
Authenticator . Даже в Windows для рабочих групп (где мои люди из 3.11?) было нехорошо отправлять четкий пароль по сети.
Active Directory избегает этого, шифруя системное время производной версией пароля. На выходе этой функции создается то, что называется аутентификатором (то есть данными предварительной аутентификации). Когда контроллер домена получает аутентификатор, он ищет пароль учетной записи (также известный как долгосрочный ключ), расшифровывает аутентификатор и сравнивает результат со своим временем. Если временные метки совпадают в пределах 5 минут, он знает, что был использован правильный пароль, и что атака повторного воспроизведения очень маловероятна.
Ticket Granting Ticket (TGT) — Контроллер домена вернет TGT учетной записи после проверки аутентификатора. Внутри TGT находится SID учетной записи, SID групп учетной записи и сеансовый ключ , а также некоторые другие элементы безопасности. TGT читается контроллерами домена только из домена, в котором он был выдан. Чтобы сохранить конфиденциальность, TGT зашифрован паролем учетной записи домена KRBTGT .
В результате содержимое TGT не может быть прочитано клиентом.
Сеансовый ключ . Когда учетная запись получает TGT, она также получает копию сеансового ключа (симметричного). Чтобы сохранить ключ в безопасности при переходе по сети, он зашифрован паролем учетной записи. После расшифровки сеансовый ключ помещается в память LSA (локальный орган безопасности) вместе с TGT. В дальнейшем пароль учетной записи больше не требуется. Когда клиент делает последующие запросы билетов, он представляет TGT и создает новый аутентификатор, используя ключ сеанса и отметку времени системы. Затем контроллер домена будет использовать пароль KRBTGT для расшифровки TGT, извлечения ключа сеанса, а затем расшифровки аутентификатора. Чтобы было ясно, каждый билет имеет уникальный ключ сеанса, и контроллер домена не пытается запомнить каждый ключ сеанса. Как только это будет сделано с сеансовым ключом, он откажется от него. Когда ему снова понадобится ключ, он повторит процесс его извлечения из представленного TGT.
Билет службы . Когда учетная запись хочет получить доступ к ресурсу, она запрашивает билет службы у контроллера домена, предоставляя имя ресурса, его копию TGT и аутентификатор, сгенерированный на основе сеансового ключа TGT. . Предполагая, что аутентификатор действителен, а запрошенное имя может быть сопоставлено с принципом безопасности, контроллер домена создаст запрошенный билет службы, скопировав идентификаторы SID учетной записи из TGT, новый ключ сеанса и зашифровав его с помощью полученного пароля безопасности. принцип. В некоторых случаях пароль будет паролем учетной записи компьютера. В других случаях это будет пароль служебной учетной записи, используемой для размещения ресурса. Как и в случае с TGT, клиент не сможет прочитать билет службы, и ему будет безопасно отправлена копия сеансового ключа для билета.
Реферальный билет . Когда пользователь пытается получить доступ к ресурсу в другом домене, необходимо получить билет службы от контроллера домена в домене ресурса.
Это достигается путем отправки запроса реферального билета на контроллер домена домена пользователя. Клиент предоставляет свой TGT, новый аутентификатор и полное доменное имя удаленного ресурса. Полное доменное имя сообщит контроллеру домена, в каком доверенном домене находится ресурс. Затем он создаст реферальный билет, который содержит SID пользователя и ключ сеанса. Затем реферальный билет шифруется с помощью ключа, полученного из пароля доверия домена, и возвращается клиенту. Клиент пересылает реферальный билет контроллеру домена в удаленном домене и запрашивает сервисный билет для ресурса. Если все верно, клиенту возвращается сервисный билет вместе с сеансовым ключом, связанным с этим билетом.
Собираем все вместе
Теперь, когда поток Kerberos свеж в нашей памяти, мы можем разобрать соображения по отключению RC4.
Тип шифрования аутентификатора . Иногда клиент включает аутентификатор с первоначальным запросом TGT (KRB_AS_REQ), и в этом случае он просто объявляет, какое шифрование он решил использовать на основе конфигурации ОС.
В других случаях клиент запросит TGT без предоставления аутентификатора, на который контроллер домена ответит сообщением KDC_ERR_PREAUTH_REQUIRED вместе со списком поддерживаемых им типов шифрования. В любом случае клиент и контроллер домена должны согласовать поддерживаемый тип шифрования. Как описано в этой статье, Server 2000, Server 2003 и XP не поддерживают ни одну из версий AES. Поэтому, если в вашем домене все еще есть эти устаревшие операционные системы, вы не готовы удалить поддержку RC4 со своих контроллеров домена.
Тип шифрования TGT . Как упоминалось ранее, TGT читается только контроллерами домена в домене-издателе. В результате тип шифрования TGT должен поддерживаться только контроллерами домена. Как только ваш функциональный уровень домена (DFL) станет 2008 или выше, ваша учетная запись KRBTGT всегда будет по умолчанию использовать шифрование AES. Для всех других типов учетных записей (пользователя и компьютера) выбранный тип шифрования определяется параметром msDS-SupportedEncryptionTypes 9.
Атрибут 0012 в учетной записи. Вы можете изменить атрибут напрямую или включить AES, установив флажки на вкладке «Учетная запись».
Атрибут msDS-SupportedEncryptionTypes использует одно шестнадцатеричное значение для определения поддерживаемых типов шифрования. Вы можете рассчитать значение на основе этого сообщения в блоге или использовать следующее кольцо декодера:
Десятичное значение | Шестнадцатеричное значение | Поддерживаемые типы шифрования |
0 | 0x0 | Не определено — по умолчанию RC4_HMAC_MD5 |
1 | 0x1 | DES_CBC_CRC |
2 | 0x2 | DES_CBC_MD5 |
3 | 0x3 | DES_CBC_CRC, DES_CBC_MD5 |
4 | 0x4 | RC4 |
5 | 0x5 | DES_CBC_CRC, RC4 |
6 | 0x6 | DES_CBC_MD5, RC4 |
7 | 0x7 | DES_CBC_CRC, DES_CBC_MD5, RC4 |
8 | 0x8 | АЕС 128 |
9 | 0x9 | DES_CBC_CRC, AES 128 |
10 | 0xА | DES_CBC_MD5, АЕС 128 |
11 | 0xB | DES_CBC_CRC, DES_CBC_MD5, AES 128 |
12 | 0xC | RC4, АЕС 128 |
13 | 0xD | DES_CBC_CRC, RC4, AES 128 |
14 | 0xЕ | DES_CBC_MD5, RC4, AES 128 |
15 | 0xF | DES_CBC_CBC, DES_CBC_MD5, RC4, AES 128 |
16 | 0x10 | АЕС 256 |
17 | 0x11 | DES_CBC_CRC, AES 256 |
18 | 0x12 | DES_CBC_MD5, АЕС 256 |
19 | 0x13 | DES_CBC_CRC, DES_CBC_MD5, AES 256 |
20 | 0x14 | RC4, АЕС 256 |
21 | 0x15 | DES_CBC_CRC, RC4, AES 256 |
22 | 0x16 | DES_CBC_MD5, RC4, AES 256 |
23 | 0x17 | DES_CBC_CRC, DES_CBC_MD5, RC4, AES 256 |
24 | 0x18 | АЕС 128, АЕС 256 |
25 | 0x19 | DES_CBC_CRC, AES 128, AES 256 |
26 | 0x1A | DES_CBC_MD5, АЕС 128, АЕС 256 |
27 | 0x1B | DES_CBC_MD5, DES_CBC_MD5, AES 128, AES 256 |
28 | 0x1C | RC4, АЕС 128, АЕС 256 |
29 | 0x1D | DES_CBC_CRC, RC4, AES 128, AES 256 |
30 | 0x1E | DES_CBC_MD5, RC4, AES 128, AES 256 |
31 | 0x1F | DES+A1:C33_CBC_MD5, DES_CBC_MD5, RC4, AES 128, AES 256 |
Если вы включите AES в учетной записи KRBTGT и обнаружите, что ваши TGT по-прежнему выдаются с шифрованием RC4, вам может потребоваться вручную сбросить пароль учетной записи KRBTGT.
Это связано с тем, что пароль KRBTGT не меняется автоматически. В результате текущий пароль мог быть установлен еще в 2003 году, когда генерация ключей AES не поддерживалась. Если вам нужно обновить свой пароль, я рекомендую вам использовать этот скрипт. На самом деле рекомендуется сбросить его во второй раз после ожидания не менее 10 часов (время жизни TGT по умолчанию), чтобы в атрибуте истории паролей был ключ AES.
Тип шифрования сеансового ключа — тип шифрования, поддерживаемый клиентом, аналогичен типу шифрования аутентификатора в том смысле, что он зависит от конфигурации клиентской ОС и объявляется во время запроса билета (KRB_AS_REQ). Ключ сеанса, выбранный для TGT, должен быть совместим с клиентом и контроллерами домена выдающего домена. Ключ сеанса, выбранный для билета службы, должен быть совместим с клиентом и сервером, на котором размещается ресурс. При выборе совместимого сеансового ключа KDC оценит запрос клиента и Атрибут msDS-SupportedEncryptionTypes целевой учетной записи.
Тип шифрования билета службы — при запросе билета службы контроллер домена выберет тип шифрования билета на основе атрибута msDS-SupportedEncryptionTypes учетной записи, связанной с запрошенным SPN. Как упоминалось ранее, это может быть объект компьютера или учетная запись службы, используемая для размещения ресурса в сети. Если значение атрибута не определено, контроллер домена зашифрует билет с помощью RC4 для обеспечения совместимости. По умолчанию для учетных записей пользователей не установлено значение, поэтому, если вы не включили для них AES вручную, билеты для учетных записей служб будут зашифрованы с помощью RC4. Для компьютерных объектов вы можете напрямую обновить msDS-SupportedEncryptionTypes или применить объект групповой политики для определения поддерживаемых типов шифрования. Как только компьютер обработает эту политику, он обновит атрибут своего собственного объекта-компьютера.
Тип шифрования реферального билета — шифрование, используемое для реферального билета и ключа сеанса, определяется свойствами доверия и типами шифрования, поддерживаемыми клиентом.
Если вы выберете Другой домен поддерживает шифрование AES , реферальные билеты будут выданы с помощью AES. В противном случае реферальный билет будет зашифрован с помощью RC4. По умолчанию для трастов (включая трасты между лесами) не включена поддержка AES. При принятии решения о включении AES для доверенных лиц имейте в виду, что клиент не читает содержимое реферального билета, но ему требуется общий тип шифрования сеансового ключа. Если вы планируете отключить RC4 из-за доверия, сначала просмотрите KB4492348. Как указано в блоге Даниэля, включение AES с графическим интерфейсом Active Directory Domains and Trusts отключит RC4 в доверии, но с использованием ksetup позволит вам добавить поддержку AES без отключения RC4.
Аудит типа шифрования
В моей роли старшего инженера по работе с клиентами я считаю, что страх неизвестности является основной причиной, по которой рекомендации по усилению безопасности не принимаются.
Дальнейшее внедрение AES для Kerberos потребует анализа, и одним из лучших входных данных для этой оценки являются 4769 событий из журнала безопасности контроллера домена, которые показывают тип шифрования (поле «Тип шифрования билета») выпущенных билетов службы. Событие 4768 покажет ту же информацию для выпущенных TGT. Если вы можете позволить себе роскошь централизованного сбора и анализа журналов, вы сможете быстро разобраться с типами шифрования билетов. Без такого решения вы столкнетесь с трудной задачей. В таблице ниже значения в событиях сопоставляются с типом шифрования выпущенных билетов.
Тип Значение | Используемый тип шифрования |
0x1 | DES-CBC-CRC |
0x3 | DES-CBC-MD5 |
0x11 | AES128-CTS-HMAC-SHA1-96 |
0x12 | AES256-CTS-HMAC-SHA1-96 |
0x17 | RC4-HMAC |
0x18 | RC4-HMAC-EXP |
Событие с идентификатором 16 также может быть полезно при возникновении проблемных ситуаций, когда запрос сервисного билета не прошел из-за того, что у учетной записи не было ключа AES.
Что можно и что нельзя делать при отключении RC4 для типов шифрования Kerberos
Много информации по сложной теме. Вот краткий обзор, который поможет вам определить свой следующий шаг.
- Не отключайте RC4 в своем домене без тщательной оценки, если вы недавно не обновляли свое резюме.
- Не путайте эту информацию с инструкциями и настройками по отключению RC4 для TLS\SSL (Schannel). См. этот блог MSRC, если вам все еще нужно отключить RC4 в TLS.
- Не ждите , пока вас отключат RC4. Убедитесь, что AES полностью включен на ваших компьютерах, учетных записях и трастах. Как только это будет сделано, используйте центральный сбор журналов и проанализируйте свои события 4769, чтобы определить, выдаются ли все еще билеты RC4 .
- Включить AES для учетных записей служб, для которых задано имя участника-службы. Имейте в виду, что нулевое значение для msDS-SupportedEncryptionTypes заставит контроллер домена выдавать билеты службы и сеансовые ключи с RC4 9.0780
- Выполните дважды сброс паролей учетных записей служб для учетных записей, не имеющих ключей AES. Пароли, установленные до 2008 года, не имеют ключей AES. Совет для профессионалов. Дата создания группы домена Контроллеры домена только для чтения сообщит вам, когда в вашем домене был повышен уровень первого контроллера домена новее 2003 года. Используя PowerShell, найдите в своем домене учетные записи пользователей с набором SPN, у которых pwdLastSet старше, чем когда была создана ваша группа Контроллеры домена только для чтения
- Сделайте , подтвердите, что ваши TGT зашифрованы с помощью AES. Если они все еще выдаются с RC4, проверьте атрибут pwdLastSet в учетной записи KRBTGT и определите, является ли он более новым, чем дата создания вашей группы контроллеров домена только для чтения .
- Должен ли понимать, что Kerberoasting упрощает для злоумышленника определение паролей ваших слабых учетных записей служб при выдаче служебного билета, зашифрованного с помощью RC4. Отдавайте приоритет своим привилегированным учетным записям служб при установке надежных паролей и включении AES для шифрования билетов. Kerberoasting может выполняться в автономном режиме после получения билета службы, поэтому в этой области нельзя полагаться на ваше решение EDR.
- Не забывайте об исправлении файлов KeyTab. При включении AES для учетной записи службы, используемой с существующим файлом KeyTab, может потребоваться создание нового файла. К сожалению, во многих организациях нет достаточного количества выпущенных файлов KeyTab, поэтому их исправление может оказаться сложной задачей .
- Сделать узнать, как использовать klist для просмотра типа шифрования, используемого для билетов и сеансовых ключей. Если у вас включен UAC, вы увидите разные результаты в зависимости от того, запустили ли вы командную строку с повышенными правами. Это потому, что технически у вас две сессии, что означает два разных набора билетов. Если вы хотите просматривать билеты, выданные системе, а не вашей учетной записи, запустите klist –li 0x3e7 из командной строки с повышенными привилегиями.
- Do Помните, что шифрование билета должно быть совместимо только с учетной записью, открывающей билет. Выбранный сеансовый ключ должен быть совместим с обеими сторонами соединения.
- Вывести из эксплуатации устаревшие операционные системы (Server 2003 и старше), которые несовместимы с зашифрованными билетами AES
- Сделайте просмотрите эти другие блоги по этой теме, которые отлично объясняют согласование типа шифрования, которое вы увидите при захвате сети
- https://docs.microsoft.com/en-us/archive/blogs/openspecification/encryption-type-selection-in-kerber.
- https://docs.microsoft.com/en-us/archive/blogs/openspecification/encryption-type-selection-in-kerber.
Имейте в виду, что нулевое значение для msDS-SupportedEncryptionTypes заставит контроллер домена выдавать билеты службы и сеансовые ключи с RC4 9.0780
Если у вас включен UAC, вы увидите разные результаты в зависимости от того, запустили ли вы командную строку с повышенными правами. Это потому, что технически у вас две сессии, что означает два разных набора билетов. Если вы хотите просматривать билеты, выданные системе, а не вашей учетной записи, запустите klist –li 0x3e7 из командной строки с повышенными привилегиями.