Note
Ang pag-access sa pahinang ito ay nangangailangan ng pahintulot. Maaari mong subukang mag-sign in o magpalit ng mga direktoryo.
Ang pag-access sa pahinang ito ay nangangailangan ng pahintulot. Maaari mong subukang baguhin ang mga direktoryo.
Bakit Isaalang-alang ito
Ang pagpapahintulot sa mga lumang algorithm ng cryptography ng NT4 ay maaaring maging isang malubhang panganib sa seguridad at maaaring maging isang senyas na sa kapaligiran ay maaaring mayroon pa ring luma at hindi ligtas na hardware o software na ginagamit (tulad ng NT4 o mas lumang mga kliyente ng SAMBA SMB). Lahat ng kasalukuyang suportado na OS ay hindi na iginagalang ang setting na ito.
Panoorin ang isang Customer Engineer na nagpapaliwanag ng isyu
Konteksto at Pinakamahusay na Kasanayan
Bilang default, ipinagbabawal ng Windows Server 2008 o mas bago ang mga kliyente na nagpapatakbo ng mga operating system na hindi Microsoft o mga operating system ng Windows NT 4.0 upang magtatag ng mga secure na channel gamit ang mahinang mga algorithm ng cryptography ng estilo ng Windows NT 4.0. Ang anumang operasyon na nakasalalay sa channel ng seguridad na sinimulan ng mga kliyente na nagpapatakbo ng mga mas lumang bersyon ng operating system ng Windows o nagpapatakbo ng mga operating system na hindi Microsoft na hindi sumusuporta sa malakas na mga algorithm ng cryptographic ay mabibigo laban sa isang domain controller na nagpapatakbo ng Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 na may mga default na setting.
Ang Windows Server 2008 R2 at mas bago ay hindi sumusuporta sa mga relasyon sa pagtitiwala sa Windows NT 4.0 kahit na ginagamit ang setting ng NT4Crypto. Kasama sa limitasyong ito ngunit hindi limitado sa mga sumusunod na secure na operasyon ng channel: - Pagtatatag at pagpapanatili ng mga relasyon sa pagtitiwala - Sumali sa Domain - Pagpapatunay ng domain - Mga sesyon ng SMB
Mga Iminungkahing Pagkilos
Upang matugunan ang isyung ito, magsagawa ng isa sa mga sumusunod na pagkilos:
- I-off ang setting ng AllowNTCrypto sa registry.
- Mag-log in sa mga apektadong domain controller.
- Piliin ang Start, piliin ang Patakbuhin, i-type ang regedit.exe, at pagkatapos ay piliin ang OK.
- Sa Registry Editor pumunta sa HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\
Mga parameter. - Baguhin ang halaga ng AllowNT4Crypto sa 0.
- Ulitin ang mga hakbang na ito para sa bawat apektadong domain controller.
- I-off ang setting ng AllowNTCrypto sa Default Domain Controllers Policy GPO.
- Mag-log in sa isang Windows Server 2008-based na domain controller.
- Piliin ang Start, piliin ang Patakbuhin, i-type ang gpmc.msc, at pagkatapos ay piliin ang OK.
- Sa console ng Pamamahala ng Patakaran ng Pangkat, palawakin ang Kagubatan: DomainName, palawakin ang Mga Domain, palawakin ang DomainName, at pagkatapos ay palawakin ang Mga Controller ng Domain.
- I-right-click ang Default na Patakaran sa Mga Controller ng Domain, at pagkatapos ay piliin ang I-edit.
- Sa console ng Editor ng Pamamahala ng Patakaran ng Grupo, palawakin ang Pagsasaayos ng Computer, palawakin ang Mga Patakaran, palawakin ang Mga Template ng Pangangasiwa, at pagkatapos ay palawakin ang System.
- Piliin ang Net Logon.
- I-double-click Payagan ang mga algorithm ng cryptography na katugma sa Windows NT 4.0.
- Sa dialog, piliin ang Hindi pinagana, at pagkatapos ay piliin ang OK.
Alamin pa
Para sa karagdagang impormasyon tungkol sa pag-uugali na ito, tingnan ang Ang serbisyo ng Net Logon sa Windows Server 2008 at sa Windows Server 2008 R2 domain controllers ay hindi nagpapahintulot sa paggamit ng mas lumang mga algorithm ng cryptography na katugma sa Windows NT 4.0 bilang default, sa https://support.microsoft.com/kb/942564
Para sa karagdagang impormasyon sa pagbabago ng may-katuturang GPO, tingnan ang Baguhin ang Mga Patakaran sa Seguridad sa Default na Patakaran sa Mga Controller ng Domain, sa https://technet.microsoft.com/library/cc731654.aspx.