Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Por qué se debe considerar
Permitir los algoritmos de criptografía antiguos de NT4 podría suponer un riesgo grave de seguridad e indicar que en el entorno todavía podría quedar hardware o software muy antiguo e inseguro en uso (como NT4 o los antiguos clientes SMB de SAMBA). Además, todos los sistemas operativos compatibles actualmente ya no tienen esta configuración.
Vea a un ingeniero de clientes explicando el problema
Contexto y prácticas recomendadas
De forma predeterminada, Windows Server 2008 o versiones posteriores prohíben a los clientes que ejecutan sistemas operativos que no sean de Microsoft o de Windows NT 4.0 establecer canales seguros utilizando algoritmos de criptografía débiles al estilo de Windows NT 4.0. Cualquier operación dependiente del canal de seguridad que inicien los clientes que ejecutan versiones anteriores del sistema operativo Windows o sistemas no pertenecientes a Microsoft que no son compatibles con algoritmos criptográficos sólidos generará errores con un controlador de dominio que ejecute Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 con la configuración predeterminada.
Windows Server 2008 R2 y versiones posteriores no admiten relaciones de confianza con Windows NT 4,0, incluso cuando se usa la configuración NT4Crypto. Esta limitación incluye, entre otras, las siguientes operaciones de canal seguro: - Establecimiento y mantenimiento de relaciones de confianza - Unión a un dominio - Autenticación de dominio - Sesiones SMB
Acciones recomendadas
Para resolver este problema, realice una de las siguientes acciones:
- Desactive la opción de configuración AllowNTCrypto en el registro.
- Inicie sesión en los controladores de dominio afectados.
- Seleccione Inicio y Ejecutar, escriba regedit y, luego, seleccione Aceptar.
- En el Editor del Registro, vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\
Parameters. - Cambie el valor de AllowNT4Crypto a 0.
- Repita estos pasos para cada controlador de dominio afectado.
- Desactive la opción de configuración AllowNTCrypto en la GPO de la directiva predeterminada de controladores de dominio.
- Inicie sesión en el controlador de dominio basado en Windows Server 2008.
- Seleccione Inicio, seleccione Ejecutar, escriba gpmc.msc y, a continuación, seleccione Aceptar.
- En la consola de administración de directivas de grupo, expanda Bosque: DomainName, Dominios, DomainName y, por último, Controladores de dominio.
- Haga clic con el botón derecho en Directiva predeterminada de controladores de dominio y seleccione Editar.
- En la consola Editor de administración de directivas de grupo, expanda Configuración del equipo, Directivas, Plantillas administrativas y, después, Sistema.
- Seleccione Net Logon.
- Haga doble clic en Permitir algoritmos de criptografía compatibles con Windows NT 4.0.
- En el cuadro de diálogo, seleccione Deshabilitado y después Aceptar.
Más información
Para obtener más información sobre este comportamiento, consulte El servicio de Net Logon en controladores de dominio con Windows Server 2008 y Windows Server 2008 R2 no permite el uso de algoritmos de cifrado antiguos compatibles con Windows NT 4.0 de forma predeterminada, en https://support.microsoft.com/kb/942564
Para obtener más información sobre la modificación del GPO relevante, consulte Modificar las directivas de seguridad en la directiva predeterminada de controladores de dominio, en https://technet.microsoft.com/library/cc731654.aspx.