Vypnutie nastavenia AllowNT4Crypto vo všetkých ovplyvnených radičoch domén
Prečo vezmite do úvahy toto
Povolenie starých algoritmov NT4 môže byť vážnym bezpečnostným rizikom a môže to byť signál, že v prostredí môže byť aj naďalej veľmi starý a nezabezpečený hardvér alebo softvér (napríklad NT4 alebo starší klienti SMB SALEX). Okrem toho, všetky aktuálne podporované systémy už toto nastavenie nenáhodujú.
Pozrite si informácie o probléme od zákazníckeho inžiniera
Osvedčené postupy & z kontextu
Podľa predvoleného nastavenia Windows Server 2008 alebo novšia verzia zakazuje klientov, ktorí používajú operačné systémy iných ako spoločnosť Microsoft, alebo operačné systémy systém Windows NT 4.0, aby sa vytvorili zabezpečené kanály pomocou slabých systém Windows NT-4.0-style cryptographys. Všetky operácie závislé od kanála zabezpečenia iniciované klientmi spustenými staršími verziami operačného systému Windows alebo s operačnými systémami iných ako Microsoft, ktoré nepodporujú silné kryptografické algoritmy, zlyhajú v prípade radiča domény, ktorý spúšťa Windows Server 2008, Windows Server 2008 R2 alebo Windows Server 2012 s predvolenými nastaveniami.
Windows Server 2008 R2 a novšie verzie nepodporuje vzťahy dôveryhodnosti s systém Windows NT 4.0 ani pri použití nastavenia NT4Crypto. Toto obmedzenie zahŕňa okrem iného nasledujúce operácie zabezpečeného kanála: – Vytvorenie a udržiavanie vzťahov dôvery – Pripojenie k doméne – Overovanie domény – relácie SMB
Navrhované akcie
Tento problém môžete vyriešiť týmito akciami:
- Vypnite nastavenie AllowNTCrypto v databáze Registry.
- Prihláste sa k ovládačom ovplyvnených domén.
- Kliknite na položky Štart , Spustiť, zadajte regedit.exe a potom kliknite na tlačidlo OK.
- V Editore databázy Registry prejdite na položku HKEY _ LOCAL _ MACHINE\SYSTEM\CurrentControlSet\Services\Niekdy\ Parameters.
- Zmeňte hodnotu AllowNT4Crypto na 0.
- Tento postup zopakujte pre každý ovplyvnený radič domény.
- Vypnite nastavenie AllowNTCrypto v predvolenej politike radičov domén GPO.
- Prihláste sa do radiča domény Windows Server 2008.
- Kliknite na tlačidlo Štart, kliknite na položku Spustiť, zadajte príkaz gpmc.msc a potom kliknite na tlačidlo OK.
- V konzole Group Policy Management console rozbaľte položku Forest: DomainName(Doména: Názov Domény), položku Domains(Domény), rozbaľte položku DomainName (Názov Domény) a potom rozbaľte položku Domain Controller (Radiče domén).
- Kliknite pravým tlačidlom myši na položku Predvolená politika radičov domén a potom kliknite na položku Upraviť.
- V konzole Editor správy skupinovej politiky rozbaľte položku Konfigurácia počítača, rozbaľte položku Politiky, rozbaľte položku Šablóny na správu a potom rozbaľte položku Systém.
- Kliknite na položku Net Logon.
- Dvakrát kliknite na položku Povoliť kryptografické algoritmy kompatibilné s systém Windows NT 4.0.
- V dialógovom okne kliknite na možnosť Vypnuté a potom kliknite na tlačidlo OK.
Ďalšie informácie
Ďalšie informácie o tomto správaní nájdete v téme Služba prihlásenia do siete (Net Logon service) v serveri Windows Server 2008 a v radičoch domén servera Windows Server 2008 R2 neumožňuje používanie starších algoritmov kryptografie, ktoré sú predvolene kompatibilné s systém Windows NT 4.0 .https://support.microsoft.com/kb/942564
Ďalšie informácie o úprave príslušného prostredia GPO nájdete v téme Úprava politík zabezpečenia v predvolenej politike radičov domén na stránke https://technet.microsoft.com/library/cc731654.aspx .
Všeobecné pripomienky týkajúce sa Strediska zdrojov alebo obsahu nám môžete odoslať odpoveď na správu UserVoice. Konkrétne požiadavky a aktualizácie obsahu týkajúce sa centra služieb vám poskytne náš tím podpory a odošliteprípad.