COM+ 数据包隐私的加密详细信息

简而言之，看起来使用的是NTLMSSP v1，现在被认为是不安全的。

Wireshark捕获DCERPC包： 另请参阅https://learn.microsoft.com/en-us/windows/win32/com/ntlmssp

微软支持的完整答复：

默认的加密算法是什么，是否有办法指定默认的？ Kerberos 支持多种加密/签名算法，KDC 将根据服务器的功能和 KDC 配置选择会话将使用的算法。如果您使用的是 Windows 域控制器，则服务器功能存储在 msDS-SupportedEncryptionTypes LDAP 属性中，但也可以通过组策略指定允许的加密类型。 更多信息请访问 https://techcommunity.microsoft.com/t5/core-infrastruct-and-security/decrypting-the-selection-of-supported-kerberos-encryption-types/ba-p/1628797。 Schannel 实现的 TLS 协议族同样允许客户端和服务器根据各自的能力/配置来协商用于执行加密/MAC 操作的所选密码套件。同样，用户可以使用组策略设置来根据自己的要求限制允许的密码套件。

NTLMSSP 使用什么加密算法？ NTLMv1 目前被禁用，因为它被认为极其不安全。默认情况下，Vista 及更高版本将拒绝使用 NTLMv1 进行传出 NTLM 身份验证，但如果客户希望阻止来自声称不支持 NTLMv2 的设备传入使用 NTLMv1，则需要组策略配置。 NTLMv2 使用 HMAC-MD5 进行签名/完整性，但仍使用 RC4 进行加密/密封，如中所述。当前没有可用于 NTLM 的其他替代算法，但您可以配置组策略选项来审核/阻止传入和传出 NTLM 身份验证。

有没有办法在编程更改之外指定默认的安全/加密提供程序？ 不，除了编程更改之外，无法指定默认安全服务提供商。如果没有以编程方式指定 SSP，COM 将仅枚举可用的安全包并使用其中的任何一个。因此，如果客户不想使用 NTLM，因为它使用 RC4 算法进行加密，他们应该以编程方式指定一个。