Compartir a través de

Deshabilitar el ajuste AllowNT4Crypto en todos los controladores de dominio afectados

  • Artículo

Por qué es algo que se debe considerar

Permitir los algoritmos de criptografía antiguos de NT4 podría poner en un riesgo grave a la seguridad y podría ser una señal de que en el entorno todavía podría haber hardware o software muy antiguo e inseguro que se está utilizando (como NT4 o los antiguos clientes SMB de SAMBA). Además, todos los sistemas operativos compatibles actualmente ya no siguen esta configuración.

Puedes ver a un ingeniero de clientes explicando el problema

Contexto y prácticas recomendadas

De forma predeterminada, Windows Server 2008 o versiones posteriores prohíben a los clientes que ejecutan sistemas operativos que no sean de Microsoft o de Windows NT 4.0 establecer canales seguros utilizando algoritmos de criptografía débiles al estilo de Windows NT 4.0. Cualquier operación dependiente del canal de seguridad que inicien los clientes que ejecutan versiones anteriores del sistema operativo Windows o sistemas no pertenecientes a Microsoft que no son compatibles con algoritmos criptográficos sólidos generará errores con un controlador de dominio que ejecute Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 con la configuración predeterminada.

Windows Server 2008 R2 y versiones posteriores no admiten relaciones de confianza con Windows NT 4,0, incluso cuando se usa la configuración NT4Crypto. Esta limitación incluye, entre otras, las siguientes operaciones de canal seguro: - Establecimiento y mantenimiento de relaciones de confianza - Unión a un dominio - Autenticación de dominio - Sesiones SMB

Acciones recomendadas

Para resolver este problema, realice una de las siguientes acciones:

  1. Inhabilite la configuración AllowNTCrypto en el registro.
    1. Inicie sesión en los controladores de dominio afectados.
    2. Haga clic en Inicio, Ejecutar, escriba regedit.exe y luego haga clic en Aceptar.
    3. En el Editor del Registro, vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\
      Parameters      .
    4. Cambie el valor de AllowNT4Crypto a 0.
    5. Repita estos pasos para cada controlador de dominio afectado.
  2. Deshabilite la configuración AllowNTCrypto en la GPO de la directiva predeterminada de controladores de dominio.
    1. Inicie sesión en el controlador de dominio basado en Windows Server 2008.
    2. Haga clic en Inicio y en Ejecutar, escriba gpmc.msc y haga clic en Aceptar.
    3. En la consola de administración de directivas de grupo, expanda Bosque: DomainName, Dominios, DomainName y, por último, Controladores de dominio.
    4. Haga clic con el botón derecho en Directiva predeterminada de controladores de dominio y después haga clic en Editar.
    5. En la consola Editor de administración de directivas de grupo, expanda Configuración del equipo, Directivas, Plantillas administrativas y, después, Sistema.
    6. Haga clic en Net Logon.
    7. Haga doble clic en Permitir algoritmos de criptografía compatibles con Windows NT 4.0.
    8. En el cuadro de diálogo, haga clic en la opción Deshabilitado y después en Aceptar.

Más información

Para obtener más información sobre este comportamiento, consulte El servicio de Net Logon en controladores de dominio con Windows Server 2008 y Windows Server 2008 R2 no permite el uso de algoritmos de cifrado antiguos compatibles con Windows NT 4.0 de forma predeterminada, en https://support.microsoft.com/kb/942564

Para obtener más información sobre la modificación del GPO relevante, consulte Modificar las directivas de seguridad en la directiva predeterminada de controladores de dominio, en https://technet.microsoft.com/library/cc731654.aspx.