Deaktivieren Sie die AllowNT4Crypto-Einstellung auf allen betroffenen Domänencontrollern

  • Artikel

Warum sollte man dies in Betracht ziehen?

Das Zulassen alter NT4-Kryptographie-Algorithmen könnte ein ernstes Sicherheitsrisiko darstellen und ein Signal dafür sein, dass in der Umgebung möglicherweise noch sehr alte und unsichere Hardware oder Software verwendet wird (wie NT4 oder ältere SAMBA SMB-Clients). Außerdem berücksichtigen alle zurzeit unterstützten Betriebssysteme diese Einstellung gar nicht mehr.

Schauen Sie einem Customer Engineer zu, der das Problem erklärt

Kontext und bewährte Vorgehensweisen

Standardmäßig verbietet Windows Server 2008 oder höher Clients mit Nicht-Microsoft-Betriebssystemen oder Windows NT 4.0-Betriebssystemen, sichere Kanäle mit schwachen Kryptographie-Algorithmen im Stil von Windows NT 4.0 einzurichten. Jeder sicherheitskanalabhängige Vorgang, der von Clients initiiert wird, auf denen ältere Versionen des Windows-Betriebssystems oder Nicht-Microsoft-Betriebssysteme ausgeführt werden, die keine starken kryptografischen Algorithmen unterstützen, schlägt gegen einen Domänencontroller fehl, auf dem Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 mit Standardeinstellungen ausgeführt wird.

Windows Server 2008 R2 und höher unterstützen keine Vertrauensbeziehungen mit Windows NT 4.0, selbst wenn die Einstellung NT4Crypto verwendet wird. Diese Einschränkung betrifft unter anderem die folgenden Sicherheitskanalvorgänge: -Einrichten und Verwalten von Vertrauensstellungen - Domänenbeitritt - Domänenauthentifizierung - SMB-Sitzungen

Empfohlene Maßnahmen

Um dieses Problem anzugehen, führen Sie eine der folgenden Aktionen durch:

  1. Deaktivieren Sie die AllowNTCrypto-Einstellung in der Registrierung.
    1. Melden Sie sich bei den betroffenen Domänencontrollern an.
    2. Klicken Sie auf Start und dann auf Ausführen, geben Sie regedit.exe ein, und klicken Sie auf OK.
    3. Navigieren Sie im Registrierungs-Editor zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\
      Parameter      .
    4. Ändern Sie den Wert von AllowNT4Crypto in 0.
    5. Wiederholen Sie diese Schritte für alle betroffenen Domänencontroller.
  2. Deaktivieren Sie die AllowNTCrypto-Einstellung im GPO für die Standarddomänencontrollerrichtlinie.
    1. Melden Sie sich auf einem Windows Server 2008-basierten Domänencontroller an.
    2. Klicken Sie auf Starten und dann Ausführen, geben Sie gpmc.msc ein, und klicken Sie auf OK.
    3. Erweitern Sie in der Gruppenrichtlinienverwaltungskonsole nacheinander Gesamtstruktur: Domänenname, Domänen, Domänenname und dann Domänencontroller.
    4. Klicken Sie mit der rechten Maustaste auf Standard-Domänencontroller-Richtlinie und dann auf Bearbeiten.
    5. Erweitern Sie in der Konsole des Gruppenrichtlinienverwaltungs-Editors nacheinander die Einträge Computerkonfiguration, Richtlinien, Administrative Vorlagen und System.
    6. Klicken Sie auf Netzanmeldung.
    7. Doppelklicken Sie auf Mit Windows NT 4.0 kompatible Kryptografiealgorithmen zulassen.
    8. Klicken Sie im Dialogfeld auf die Option Deaktiviert und dann auf OK.

Weitere Informationen

Weitere Informationen zu diesem Verhalten finden Sie unter Der Netzwerkanmeldungsdienst auf Windows Server 2008 und auf Windows Server 2008 R2-Domänencontrollern erlaubt nicht die Verwendung älterer Kryptographie-Algorithmen, die standardmäßig mit Windows NT 4.0 kompatibel sind unter https://support.microsoft.com/kb/942564.

Weitere Informationen zum Ändern des entsprechenden GPO finden Sie unter Ändern von Sicherheitsrichtlinien in der Richtlinie für Standard-Domänencontroller unter https://technet.microsoft.com/library/cc731654.aspx.